Windbg的使用

双机调试

VKD-Redux介绍

VirtualKD-Redux是VirtualKD的复兴和现代化版本1。它具有以下特性:

  1. 支持最新的VMware Workstation Pro。

  2. 支持最新的VirtualBox。

  3. 支持从Windows XP到最新的Windows 11的所有版本。

  4. 支持最新的WinDbg Preview。

  5. 工具链现代化。与Visual Studio 2022一起构建。

  6. 简化的构建系统。不需要额外的库

Virtual-Redux的下载地址:https://github.com/4d61726b/VirtualKD-Redux

实验环境

物理机
调试机

Windows11

Windows10(1903)

调试机系统推荐选择1903 1909 1809 1703 1709 1607,操作系统下载地址:https://msdn.itellyou.cn/

实验步骤

1.调试机运行vminstall

将对应系统位数的target目录拖至虚拟机(调试机)

以管理员身份运行vminstall.exe,点击安装后系统会重新启动

image-20230614145755749

F8选择VKD模式

选择禁用驱动程序强制签名

此时电脑会开不了机,如下图所示

2.物理机运行vmmon64

返回物理机运行vmmon64.exe,随后会自动打开WinDbgPreview

点击Go让系统继续运行,这样就能开机了

Windbg基础指令

内存查看指令

db(dispaly bytes)

这个指令用于查看内存中的原始字节 (1 byte)

image-20230614154459421

dw(display words)

这个指令用于查看 16-bit(2 byte)大小的值

image-20230614154624524

dd(display dwords)

这个指令用于查看 32-bit(4 byte)大小的值

image-20230614154735857

dq(display qwords)

这个指令用于查看 64-bit(8 byte)大小的值。'Qword' 是 'Quad word' 的缩写,每个 'word' 是 2 bytes,所以 'Quad word' 就是 8 bytes

image-20230614154810421

内存编辑指令

eb(edit bytes)

修改内存中的原始字节

image-20230614160650134

ew(edit words)

这个命令用于修改 16-bit(2 byte)大小的值

image-20230614161234278

ed(edit dwords)

这个命令用于修改 32-bit(4 byte)大小的值

eq(edit qwords)

这个命令用于修改 64-bit(8 byte)大小的值

上一页Shellcode的原理与编写下一页使用Stardust框架编写Shellcode

最后更新于