Windbg的使用

双机调试

VKD-Redux介绍

VirtualKD-Redux是VirtualKD的复兴和现代化版本1。它具有以下特性：

支持最新的VMware Workstation Pro。
支持最新的VirtualBox。
支持从Windows XP到最新的Windows 11的所有版本。
支持最新的WinDbg Preview。
工具链现代化。与Visual Studio 2022一起构建。
简化的构建系统。不需要额外的库

Virtual-Redux的下载地址：https://github.com/4d61726b/VirtualKD-Redux

实验环境

物理机

调试机

Windows11

Windows10(1903)

调试机系统推荐选择1903 1909 1809 1703 1709 1607，操作系统下载地址：https://msdn.itellyou.cn/

实验步骤

1.调试机运行vminstall

将对应系统位数的target目录拖至虚拟机(调试机)

以管理员身份运行vminstall.exe，点击安装后系统会重新启动

按F8选择VKD模式

选择禁用驱动程序强制签名

此时电脑会开不了机，如下图所示

2.物理机运行vmmon64

返回物理机运行vmmon64.exe，随后会自动打开WinDbgPreview

点击Go让系统继续运行，这样就能开机了

Windbg基础指令

内存查看指令

db(dispaly bytes)

这个指令用于查看内存中的原始字节 (1 byte)

dw(display words)

这个指令用于查看 16-bit（2 byte）大小的值

dd(display dwords)

这个指令用于查看 32-bit（4 byte）大小的值

dq(display qwords)

这个指令用于查看 64-bit（8 byte）大小的值。'Qword' 是 'Quad word' 的缩写，每个 'word' 是 2 bytes，所以 'Quad word' 就是 8 bytes

内存编辑指令

eb(edit bytes)

修改内存中的原始字节

ew(edit words)

这个命令用于修改 16-bit（2 byte）大小的值

ed(edit dwords)

这个命令用于修改 32-bit（4 byte）大小的值

eq(edit qwords)

这个命令用于修改 64-bit（8 byte）大小的值

上一页Shellcode的原理与编写下一页使用Stardust框架编写Shellcode

最后更新于1年前

hashtag双机调试

hashtagVKD-Redux介绍

hashtag实验环境

hashtag实验步骤

hashtag1.调试机运行vminstall

hashtag2.物理机运行vmmon64

hashtagWindbg基础指令

hashtag内存查看指令

hashtagdb(dispaly bytes)

hashtagdw(display words)

hashtagdd(display dwords)

hashtagdq(display qwords)

hashtag内存编辑指令

hashtageb(edit bytes)

hashtagew(edit words)

hashtaged(edit dwords)

hashtageq(edit qwords)