Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html
VT 调试环境搭建
调试方法: VmWare + win7x64 + windbg + IDA64位
一、虚拟机配置
1.打开win7的虚拟机文件,找到一个 .vmx 文件,在后面加上下面几句话,之后保存,启动虚拟机。
debugStub.listen.guest64.remote = "TRUE" monitor.debugOnStartGuest64 = "TRUE" debugStub.hideBreakpoints = "TRUE" bios.bootDelay = "3000"
2.当启动虚拟机时,发现进入[调试]模式之后,黑屏,并且Windbg也连接不上,此时不用担心,继续往下看。
二、IDA配置启动远程调试
1.打开IDA64,点击"Debugger"-"Attach"-"Remote DGB debugger"
2.两个参数依次为 "localhost" "8864",点击确定。
3. 一直点确定,最后会出现成功附加进程
4. 点左上角运行,启动虚拟机
三、虚拟机连接windbg
1. 当IDA中继续执行时,此时屏幕还是黑的,但此时已经可以和windbg连接了。
2. 正常启动。
四、加载PDB文件
1. 从虚拟机中的 C:windowssystem32 中找到ntoskrnl.exe
2. 下载对应的PDB文件
3. 将ntoskrnl.exe 与 对应的pdb文件放在同一个目录下,然后IDA加载PDB文件时,选择加载ntoskrnl.exe(其会自动找到对应的模块地址然后加载PDB文件)
PDB加载现在还不知道什么原因并未加载成功,但不影响我们后续的使用。