Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html
一顿操作之后成功在win7 64版本输出VT是否可用
之前都是在 xp 32位下编写驱动,现在转到win7 64位,又涉及IDA+windbg联动调试虚拟机,坑太多,之后一一补充出来。
因为各种问题都不一样,就不一一细说了,如果看不懂可以在下面留言,能解答的部分我看到会给解答的。
1. 启动顺序:先启动虚拟机,黑屏之后启动IDA来调试虚拟机,运行之后再来开启windbg来调试虚拟机内核。
2. 虚拟机重启:只需要开启windbg恢复即可,在虚拟机外部的IDA并不受影响。
3. 禁用驱动签名:否则驱动无法启动,网上解决办法很多。
4. 驱动文件.sys生成: 这里使用x64来生成,我们之前用的是x86的,如果继续使用x86会显示启动失败,同时配置好x64的有关设置,如果不配置好(wdm而不是kwmf),则可以启动驱动,但之后会蓝屏。
5.驱动测试工具:一律调整成以管理员模式运行,否则创建驱动时会显示加载句柄失败。
6.DbgPrint输出信息:这篇博客提到的可以解决,但说的太模糊了吧,如下图给解释。
7. 调用CPUID指令:查看INTEL手册卷2指令,找到cpuid指令,其01h号功能,返回ecx参数第五位标志vmx = 1 表示可以开启虚拟化。
我们驱动编写思路就是利用该功能(VT代码1-1"CPU的VT开启判断")。
