IDA(with Windbg) + VMWare + winodws 内核调试环境搭建

发表于 更新于 分类于
之前弄了 Linux 的,这次调 Windows

安装镜像

直接在 https://msdn.itellyou.cn/ 上找,建议旗舰版,旗舰版才有远程连接服务(复现 RDP 相关漏洞)。

在VMWare上安装镜像,建议不要简单安装,简单安装直接给装家庭版。

正常流程是先不安装镜像,在启动前把镜像挂载到CD/DVD,从CD/DVD启动。

安装好后建议安装 VMTools。

配置虚拟机串口

如图配置,\\.\pipe\v1me_comv1me_com可以换成任意名字,例如deadbeef_com

VMWare 中启动 Windows。管理员权限运行 cmd,执行以下命令。(注意,一般打印机占了一个串行端口,如果你的配置中有打印机,则新建的串行端口编号为2,否则为1)

1
2
3
4
bcdedit /debug on
bcdedit /dbgsettings serial debugport:1 baudrate:115200  # 无打印机

bcdedit /dbgsettings serial debugport:2 baudrate:115200  # 有打印机

配置IDA

选择 Debugger -> Switch debugger, 选择Windbg。

选择 Debugger -> Debugger options, 选择 Kernel mode debugging。

选择 Debugger -> Process options。设置 Connection string 为 com:pipe,port=\\.\pipe\v1me_com,reconnect。(自行替换管道名字)

选择 Debugger -> Attach to process, 即可进入调试。