Ikoct的饮冰室
0%

IDA配合VMware进行内核(驱动)调试

发表于 更新于 分类于
本文字数: 368 阅读时长 ≈ 1 分钟

介绍一下如何用IDA配合Windbg和Vmware调试内核

虚拟机准备

新增一个串行端口:

image-20240928134238807

如果设备里有打印机要把打印机移除 否则包括以下步骤使用的管道要改成com2

命令行打开msconfig 然后配置默认启动调试机:

物理机准备

虚拟机上配置好后先打开Windbg检查是否能进行内核调试:

image-20240928135805578

如果成功的话应该会显示内核断在一个硬件断点上:

image-20240928135901744

这时候用IDA打开要调试的驱动文件(.sys) 选择Windbg调试器:

image-20240928140006899

配置调试器设置如下:

image-20240928140133914

Connection string填com:port=//./pipe/com1,baud=115200,pipe (如果之前用的是com1)

这时候选择Attach to process 如果成功的话会显示虚拟机内核:

image-20240928140335125

下好断点后运行附加到内核上进行调试 一开始会断在硬件断点上 直接放行 运行会调用目标驱动的程序后内核会断在之前下好的断点上