奥门巴黎人手机网址【app】

科技世界Windbg教程-调节和测量试验非托管程序的为主命令上

2019-12-05 12:26·澳门巴黎人官网网址

  那样,符号文件目录中也远非ntoskrnl.pdb的目录,由此积攒了一大堆Windows Internals的实验没做,前些天上网搜解决方案,开掘三个鬼子使用Windbg调节和测验livekd的别的标题...

调和SQLSE奥德赛VERubicon (二)使用Windbg调节和测量试验SQLSELacrosseVE福睿斯的条件设置

调治SQLSEQX56VEQashqai(生机勃勃)生成dump文件的法门
调治SQLSELANDVELacrosse(三)使用Windbg调节和测验SQLSETiguanVEPAJERO的黄金年代部分命令

 

世家知道在Windows里面,调节和测验能够分为五个领域:

1、内核态调节和测量检验

2、客户态调节和测量检验

相通的前后相继都是运作在顾客态,蕴涵SQLSE奥德赛VECRUISER,SQLServer 会重视于操作系统的Win32/Win64 API去调用I/O或许此外他索要的劳动

客户态程序调节和测量试验和内核态程序调节和测量试验是不太近似的,尽管稍稍命令是相符的

 

再有此外多少个要精心的是 live debug和dump file 

live debug:直接附加调节和测量检验器到进程--使进度hang住,使被调节和测验程序无法继续试行代码

dump file :平日是三个dump文件,dump文件是经过生成的当即以此进度的全部或一些内部存款和储蓄器内容,并且能够被调节和测验器读取

full dump文件 日常的扩张名是.dmp ,文件之中日常不分包已经paged out 的内部存款和储蓄器内容

mini dump文件 平时的扩大名是.mdmp ,平时只富含线程栈和加载的模块名

 

Windbg: 是贰个GUI调节和测量检验器工具何况能够调护治疗内核态和客商态程序,除了Windbg调节和测验器 当然还会有另向外调拨运输试器 ,举例kd, cdb, ntsd

 


轻巧易行复习

应用程序以进程运作,这里我们关怀的经过是sqlservr.exe ,在客户态调节和测验下,大家会调护医治叁个独门的长河,无论是使用live debug(附加进度情势)照旧读取一个dump文件

在调节和测验的时候都能看出进度的内部存储器空间。在内核态调节和测量试验里,我们得以看看有着进程和他们的内部存款和储蓄器空间(注意:在dump文件之中大家拜会不到当生成dump文件的时候

已经被paged out 的那部分内部存款和储蓄器地址)

 

stack trace:单个线程里面试行的代码的栈,八个线程能够有客商态栈内核态栈,在顾客态调节和测量检验里面,大家一定要看看各类线程的用户态栈

四个stack trace是三个线程的少年老成比比都已经函数调用的list

stack是一个LIFO结构(last in first out)意思是后进先出,术语叫做push stack 和pop stack

栈的读取是自底向上的,最上边的调用是日前正值实施的代码

下边的事例

Child SP (Stack Pointer)

RetAddr (Return Address)

stack trace里面能够追踪系统的实施各种和调用代码的回到,调节和测验器会组织stack trace 给我们以便于更加好的剖析

Child-SP          RetAddr           Call Site 
00000000`09cbe9e8 00000000`777b2f60 ntdll!NtSignalAndWaitForSingleObject+0xa 
00000000`09cbe9f0 00000000`00bdc99e kernel32!SignalObjectAndWait+0x110 
00000000`09cbeaa0 00000000`00bc4575 sqlservr+0x1c99e 
00000000`09cbed40 00000000`00bc3ea8 sqlservr+0x4575 
00000000`09cbed80 00000000`00bdcfad sqlservr+0x3ea8 
00000000`09cbf370 00000000`01139d9c sqlservr+0x1cfad 
00000000`09cbf430 00000000`032b34c7 sqlservr+0x579d9c 
00000000`09cbf650 00000000`00bd2abb sqlservr!TlsGetValueForMsxmlSQL+0x4706d7 
00000000`09cbf6c0 00000000`00bd0fda sqlservr+0x12abb 
00000000`09cbf7e0 00000000`00bd2665 sqlservr+0x10fda 
00000000`09cbf870 00000000`0117abb0 sqlservr+0x12665 
00000000`09cbf8e0 00000000`0117c4b0 sqlservr+0x5babb0 
00000000`09cbf9a0 00000000`0117a060 sqlservr+0x5bc4b0 
00000000`09cbf9d0 00000000`0117a9ef sqlservr+0x5ba060 
00000000`09cbfa60 00000000`734937d7 sqlservr+0x5ba9ef 
00000000`09cbfaf0 00000000`73493894 MSVCR80!endthreadex+0x47 
00000000`09cbfb20 00000000`7775f56d MSVCR80!endthreadex+0x104 
00000000`09cbfb50 00000000`77893281 kernel32!BaseThreadInitThunk+0xd 
00000000`09cbfb80 00000000`00000000 ntdll!RtlUserThreadStart+0x21

 

在布置调节和测量试验器的历程中,最终的步调是相配符号,大家张开Windbg的时候大家必须要安装我们的符号文件路线

Symbolic Debugging Files(符号调节和测量试验文件):帮忙调节和测量试验器把内部存储器里面包车型地铁分别的函数,类,变量名在内部存款和储蓄器的职位 匹配到相应的内部存款和储蓄器地址和移动

假如未有Symbolic Debugging Files,那么我们将会看出下边唯有memory addresses 的stack trace 

标识文件的扩大名索然无味是pdb(假设大家写C#代码的时候势必都拜候到过在debug的时候来看bin目录下会有debug符号文件),调试器能够很好地解析这种文件格式

Child-SP          RetAddr           Call Site 
00000000`09cbe9e8 00000000`777b2f60 ntdll!NtSignalAndWaitForSingleObject+0xa 
00000000`09cbe9f0 00000000`00bdc99e kernel32!SignalObjectAndWait+0x110 
00000000`09cbeaa0 00000000`00bc4575 sqlservr+0x1c99e 
00000000`09cbed40 00000000`00bc3ea8 sqlservr+0x4575 
00000000`09cbed80 00000000`00bdcfad sqlservr+0x3ea8 
00000000`09cbf370 00000000`01139d9c sqlservr+0x1cfad 
00000000`09cbf430 00000000`032b34c7 sqlservr+0x579d9c 
00000000`09cbf650 00000000`00bd2abb sqlservr!TlsGetValueForMsxmlSQL+0x4706d7 
00000000`09cbf6c0 00000000`00bd0fda sqlservr+0x12abb 
00000000`09cbf7e0 00000000`00bd2665 sqlservr+0x10fda 
00000000`09cbf870 00000000`0117abb0 sqlservr+0x12665 
00000000`09cbf8e0 00000000`0117c4b0 sqlservr+0x5babb0 
00000000`09cbf9a0 00000000`0117a060 sqlservr+0x5bc4b0 
00000000`09cbf9d0 00000000`0117a9ef sqlservr+0x5ba060 
00000000`09cbfa60 00000000`734937d7 sqlservr+0x5ba9ef 
00000000`09cbfaf0 00000000`73493894 MSVCR80!endthreadex+0x47 
00000000`09cbfb20 00000000`7775f56d MSVCR80!endthreadex+0x104 
00000000`09cbfb50 00000000`77893281 kernel32!BaseThreadInitThunk+0xd 
00000000`09cbfb80 00000000`00000000 ntdll!RtlUserThreadStart+0x21

 

上边突显出我们的模块,sqlservr.exe 和正在践行的代码在地方空间里的运动,但是大家不领会切切实实的函数名,假如有号子映射的援助(symbols mapped),大家得以拿走到更有意义输出

Child-SP          RetAddr           Call Site 
00000000`09cbe9e8 00000000`777b2f60 ntdll!NtSignalAndWaitForSingleObject+0xa 
00000000`09cbe9f0 00000000`00bdc99e kernel32!SignalObjectAndWait+0x110 
00000000`09cbeaa0 00000000`00bc4575 sqlservr!SOS_Scheduler::SwitchContext+0x84e 
00000000`09cbed40 00000000`00bc3ea8 sqlservr!SOS_Scheduler::SuspendNonPreemptive+0xc5 
00000000`09cbed80 00000000`00bdcfad sqlservr!EventInternal<Spinlock<149,1,0> >::Wait+0x428 
00000000`09cbf370 00000000`01139d9c sqlservr!ResQueueBase::Dequeue+0x19d 
00000000`09cbf430 00000000`032b34c7 sqlservr!CheckpointLoop+0x1aa 
00000000`09cbf650 00000000`00bd2abb sqlservr!ckptproc+0x47 
00000000`09cbf6c0 00000000`00bd0fda sqlservr!SOS_Task::Param::Execute+0x11b
00000000`09cbf7e0 00000000`00bd2665 sqlservr!SOS_Scheduler::RunTask+0xca 
00000000`09cbf870 00000000`0117abb0 sqlservr!SOS_Scheduler::ProcessTasks+0x95 
00000000`09cbf8e0 00000000`0117c4b0 sqlservr!SchedulerManager::WorkerEntryPoint+0x110 
00000000`09cbf9a0 00000000`0117a060 sqlservr!SystemThread::RunWorker+0x60 
00000000`09cbf9d0 00000000`0117a9ef sqlservr!SystemThreadDispatcher::ProcessWorker+0x12c 
00000000`09cbfa60 00000000`734937d7 sqlservr!SchedulerManager::ThreadEntryPoint+0x12f 
00000000`09cbfaf0 00000000`73493894 MSVCR80!endthreadex+0x47 
00000000`09cbfb20 00000000`7775f56d MSVCR80!endthreadex+0x104 
00000000`09cbfb50 00000000`77893281 kernel32!BaseThreadInitThunk+0xd 
00000000`09cbfb80 00000000`00000000 ntdll!RtlUserThreadStart+0x21

从上边的输出的函数名大家得以看来Checkpoint 线程

 科技世界 1

 

地方见到worker thread在CHECKPOINT_QUEUE 队列里面等待CHECKPOINT 命令

我们能够看看加上暗号文件之后,调节和测量试验器会在stack trace相应的职位张开转变,举个例子在模块名这里丰裕模块名,在函数名这里丰富函数名

<module_name>!<function call>

or

<module_name>!<class_name>::<method/function call>

 


设置符号路径

安装符号路线的职能是使调节和测量试验器能够找到符号文件的位置并开展加载在调治的时候

简来讲之介绍一下标志路线和集体有号子文件

个体符号文件:饱含了调节委员会话中须求的具有符号新闻(只对微软里面开放,微软私有财产)
国有符号文件:只是有选取地包涵部分标识新闻(对全部人开放)

标记音讯从归属钦命的模块,唯有调试器必要采用有个别模块时,它的暗记新闻才有被加载和深入分析的必要

要在调节和测量试验器中央银行使标记,大家必须要首先报告调节和测量检验器那个标识文件的职责,也正是设置符号路线。符号路径能够是当羊眼半夏件夹路线、可访问的UNC路径、或者是标记服务器路线

标识服务器:在调节和测量试验进程中,供给涉及繁多个标识文件,以致同一个符号文件存在分化平台下的不一致符号文件版本的时候。

手动设置符号路线确定是不具体的,于是引进了标志服务器的定义

标记服务器有风姿罗曼蒂克套命名准绳,使得调节和测量检验软件能够精确找到须要的号子文件。日常的话,符号服务器十分的大,都以公家的,放在远程主机上。

为了减少网络访谈的老本,又引进了标记缓存的概念,即将从服务器上下载到的标识文件,保存在本地缓存中,未来调试器要求符号文件的时候,先从缓存中找出,找不到的时候再到服务器上下载

 

  1、设置符号路线

  设置符号路线的语法如下:

.sympath [+] [路径]

  如要覆盖原本的不二等秘书诀设置,使用新路径就能够:

.sympath <新路径>

  要在原有路径的底子上增加叁个新路线,可接纳:

.sympath+ <新增路径>

  若是不带参数,那么输出是现阶段安装的标志路线:

0:000> .sympath
Symbol search path is: <empty>  //尚未设置符号路径

  借使在调节和测量试验时,笔者知道须要的号子文件坐落于一下文件夹"D:\MyPdb“。

0:000> .sympath D:\MyPdb  //覆盖原有符号路径
Symbol search path is: D:\MyPdb
Expanded Symbol search path is: d:\mypdb

  那儿调节和测量试验器将记录上面新的符号路线,但并不会从这些门路中加载任何标识,要提醒调节和测验器加载符号,能够采取元命令reload。

以此命令能枚举出进度地址空间中保有已加载的模块,并且尝试搜索与各类模块相关的记号文件。

0:000> .reload
Reloading current modules
.....

  若是调节和测验器在内定目录不恐怕找到文件,那么它会输出错误提醒:

*** ERROR:Symbol file could not be found. Defaulted to export symbols for xxx.dll

  当未有设置本地缓存路线时,那么调节和测量试验器将动用调试软件的装置路径下的sym文件夹。

  要非常注意的是,使用.sympath更改或新添符号路线后,符号文件并不会自动更新,应再推行.reload命令以开展翻新。

  

  2、符号服务器与符号缓存

  设置符号服务器的宗旨语法是:

SRV*[符号缓存]*服务器地址

  语法有STiguanV指引,符号缓存和服务器地址的前头各有多少个星号带领。

  此外,大家总是应该把微软的公用符号库参预到大家的标识路线中:

.sympath+ srv*<缓存地址>*http://msdl.microsoft.com/download/symbols

  这是风华正茂台微软对伯公开的服务器,使用http地址访问,不是全部人都能记住那些网站,所以最棒的措施就是使用.symfix命令(自动回忆了上面拾分微软符号服务器地址卡塔尔国,语法如下:

.symfix [+] [符号缓存地址]

  上边包车型大巴指令等价于上边的.sympath命令,而不用输入长长的http地址。

0:010> .symfix c:\windows\symbols
0:010> .sympath
Symbol search path is: srv*
Expanded Symbol search path is: SRV*c:\windows\symbols*http://msdl.microsoft.com/download/symbols

如上设置后,当须要选取符号,Windbg将机关到服务器上去下载,然后保留在C:\windows\symbols

 

理所必然,大家也得以在Computer方面安装,设置形式是:

自家的Computer=》高等系统设置=》高档Tab,点击碰到变量,新建多个客商变量如

变量名:_NT_SYMBOL_PATH
变量值:SRV*D:\PDB*

或者

在安装完符号文件之后,钦定固定的路径

变量名:_NT_SYMBOL_PATH
变量值:C:\windows\symbols

 

2、重新加载

  若是对团结正在使用的暗号文件以为纠结,比如源代码和行号明显不包容,最棒便是重新加载一下标记文件。此命令语法如下:

.reload /f /v [模块名]
  .reload命令的作用是去除钦定或富有已加载的标志文件,暗中认可意况下,调节和测量试验器不会立即依照符号路线重新搜索并加载新的符号文件,而是推迟到调试器下二回选用此文件时。

  使用/f参数将破事调节和测量检验器登时找出并重新加载新的号子文件。

  其余参数解释如下:

/v:将找出进程中的详细音讯都展现出来。
/i:不检查pdb文件的版本消息;
/l:只浮现模块音讯,内核格局下,和“lm n t”命令相通,但显得内容比继任者更多,因为含有了客商模块信息;
/n:仅重载内核符号,不重载客户符号;
/o:强制覆盖符号库中的符号文件,固然版本同样;
/d:客商层方式下使用Windbg时的默许选项,重载调节和测量试验器模块列表中的全数模块;
/s:内核形式下行使Windbg时的暗中认可选项,重载系统模块列表中的全部模块,其它,假诺调节和测量检验器在客户方式下运转,要加载内核模块,也必得利用/s选项,不然调节和测量试验器将只会在调节和测量试验器模块列表中找寻而变成找不到内核模块;
/u:卸载钦点模块。如觉察脚下标志版本不对,使用/u开关先卸载之再另行加载。

上边发号出令重新加载sqlservr模块

.reload /f  sqlservr.exe

 

 

地点讲了一大堆,什么符号服务器,什么符号缓存,可是大家日常只利用本地符号文件,实际上回顾起来大家设置符号路线经常的做法便是

1、下载公有符号文件,并设置,然后设置

地址:

科技世界 2

双击下载下来的安装包,然后安装

科技世界 3

科技世界 4

下边这些路子必必要铭记!!

科技世界 5

科技世界 6

 科技世界 7

 安装收尾之后就足以在E:\Symbols\路径下 见到安装好的pdb

科技世界 8

pdb文件

科技世界 9

 

2、在Windbg里面安装symbols文件夹的地点

咱俩随意加载八个mdmp文件

科技世界 10

 科技世界 11

开辟dump文件之后,在Windbg的一声令下框依次输入上边施命发号

.sympath  E:\Symbols

再也加载

.reload

 科技世界 12

接下来再输入 .sympath 就能够看出日前标志路线是E:\Symbols

科技世界 13

 

理当如此,大家不只怕每一回调节和测量检验dump文件的时候都钦点叁次符号路线,大家得以把符号路线增添随地境变量里

与此相类似下次再展开Windbg的时候就毫无再内定多一回符号路线

科技世界 14

我们再次张开Windbg,能够窥见Windbg会首先从境况变量里搜索符号路线,下图来看Windbg已经查找成功

科技世界 15

如此就省去了笔者们每一趟设置符号路线的辛劳


总结

那样大家的调弄收拾碰到就弄好了,下篇会介绍Windbg的局地命令

 

参照他事他说加以考察小说:

至于符号路线,符号服务器,符号文件的越来越多内容请参谋:Windbg符号与源码 《第二篇》

 

 

招待大家拍砖o(∩_∩)o 

77670000 776b4000   KERNELBASE   (deferred)            

其意气风发驱动能够下载x86和amd64多少个已编写翻译版本。那篇小说中自身将应用x86版本, 因为会更加好精通。

  更奇怪的是livekd下载了ntkrpamp的符号文件-_-这么些符号文件该不会是ntosknl,ntkrnlpa,ntkrpamp,ntkrnlmp的并集吧?依然只是唯有世襲了XP时候的名字而已...?

lm

为了热插拔加载驱动到Windows里,HackSys推荐使用OSR Driver Loader。

  早先试图动用livekd调节和测量试验Windows 7内核时,总是提醒:

# 输出结果

安装HackSys驱动

明天虚构机已经被设置成能够调度,我们将要把HackSys驱动装到被攻击的虚构机来攻击她。

使得暗中同意使不会数不完调节和测量检验新闻,所以大家要张开这么些调试新闻。

当虚构机被中止时,我们能够透过以下命令来改换WinDbg里的 Default Mask。

ed nt!Kd_Default_Mask 8

你能够透过在kd> 里输入 g 来世襲虚构机的周转。大家将那样做,进而安装驱动。

只要你曾经有了生机勃勃上马小编提到的那一个驱动以致安装程序,大家就可以初叶装驱动了。张开OSGL450你能够安装浏览到驱动路线而且让服务活动开启,然后注册这么些服务。当注册成功直接带头服务。

科技世界 16

做了那么些未来,WinDbg会略带调节和测量检验的音信。

科技世界 17

于今驱动装置好了还要在运营了,大家将设置HackSys驱动的标记,这样WinDbg技巧够更有用。

咱俩得以由此以下命令在WinDbg里找到HEVD模块

科技世界 18

最后意气风发行正是HEVD驱动,deferred代表WinDbg未有加载任何标识。

咱俩得以因此以下命令张开路线调节和测量检验消息来找到放HEVD的pdb的职位:

1: kd> !sym noisy

noisy mode - symbol prompts on

尝试打字与印刷全体HEVD的函数,我们能够找到Windbg要求大家放HEVD pdb文件的地方。

1: kd> x HEVD!*

SYMSRV:  not found

SYMSRV:  C:\ProgramData\dbg\sym\HEVD.pdb\D241CC04CE0B472CB88B1476958369FB1\HEVD.pdb not found

DBGHELP: c:\hacksysextremevulnerabledriver\compile\drv\vulnerable\i386\HEVD.pdb

  • file not found

*** ERROR: Module load completed but symbols could not be loaded for HEVD.sys

DBGHELP: HEVD - no symbols loaded

倘诺它无法在线找到,第二挑选正是以此地点

C:\ProgramData\dbg\sym\HEVD.pdb\D241CC04CE0B472CB88B1476958369FB1\HEVD.pdb.

在调解的设想机上存个和你的驱动版本同样的pdb文件同时运营.reload来再一次加载符号。所以你以后得以运作:

0: kd> x HEVD!*

SYMSRV:  C:\ProgramData\dbg\sym\HEVD.pdb\D241CC04CE0B472CB88B1476958369FB1\HEVD.pdb

  • file not found

DBGHELP: HEVD - private symbols & lines

c:\symbols\HEVD.pdb\D241CC04CE0B472CB88B1476958369FB1\HEVD.pdb

a159f018          HEVD!g_UseAfterFreeObject = 0x00000000

a159f004          HEVD!__security_cookie_complement = 0x5ea60d27

a159e030          HEVD科技世界,!KeTickCount = struct _KSYSTEM_TIME

a159e110          HEVD!__safe_se_handler_table = void *[]

a159e060          HEVD!_load_config_used = struct IMAGE_LOAD_CONFIG_DIRECTORY32

a159f000          HEVD!__security_cookie = 0xa159f2d8

a159f008          HEVD!__NLG_Destination = struct _NLG_INFO

a15a0006          HEVD!TriggerDoubleFetch (struct _DOUBLE_FETCH *)

a15a0be0          HEVD!TriggerNullPointerDereference (void *)

a159d059          HEVD!__SEH_epilog4 (void)

a159d3b1          HEVD!_NLG_Notify (void)

a159d014          HEVD!__SEH_prolog4 (void)

[...]

来获取全数HEVD里的标记。成功!

  Could not resolve symbol file for ntoskrnl.exe:MmPfnDatabase

Symbol search path is: SRV**

测量检验驱动

最后大家得以测量试验已经写好的驱动攻击来保管全数的东西符合规律运营,然后编写我们温馨的抨击。

科技世界 19

科技世界 20

它可以经过pool overflow攻击来行使系统权限展开cmd.exe。希图结束,下二个等第,让大家最初逆向吧!

本文由看雪论坛 wx_rd.cheung 原创,转发请注明来源看雪社区

  出处:

#

设想机调节和测验设置

如今设想机配置好了,大家要做些设置来让通信运转起来。

展开用于调试的设想机何况安装WinDbg。实现后大家必要设置情况变量来报告WinDbg内核符号的起点。设置_NT_SYMBOL_PATH景况变量到https://msdl.microsoft.com/download/symbols。搞定!

前几日打开被大张讨伐的虚构机,大家须求展开Windows调节和测量试验运维的选项。

率先大家到command prompt里把以后的运行设置复制到三个我们将编写制定的新入口:

bcdedit /copy {current} /d "Debug"

以此命令会现身一个大家就要用于援引新的调弄收拾选项的GUID。今后大家开通运转选项的调节和测验方式。

bcdedit /debug on

解决!我们在此个虚构机上今后享有五个展开了调和选项的开机设置,它将会透过大家的通讯文件传递新闻给用于调节和测量检验的虚构机。

当今我们回到用于调试的设想机并开采WinDbg。去到File -> Kernel Debug并输入115200来展开通讯,使用com1当接口。

科技世界 21

重启被口诛笔伐的虚构机,并在开发银行菜单里筛选“Debug”。让他进来到桌面,之后经过增选

Debug -> Break 在WinDbg里成立二个暂停使被调治将养的Windows设想机中断。借使WinDbg给你三个

kd> 命令行,何况被攻击的虚构机卡住了,那恭喜您,成功中断了!

科技世界 22

7内核时,总是提醒: Could not resolve symbol file for ntoskrnl.exe:MmPfnDatabase 那样,符号文件目录中也不曾ntoskrnl.pdb的目...

本篇作品里,以上边那一个大概的程序为例,小编介绍部分在windbg中,调节和测验托管程序常用的一声令下:

那是接下去生机勃勃类别有关通过驱动漏洞举行Windows内核驱动攻击里的第风流倜傥部篇。

  说真的,这时候认为一定惭愧的说...碰着了大半个月的题目,本身竟一向不曾想过用调节和测量试验器跟生机勃勃跟...日常总是一方面和身边同学还应该有一点点上课狂出乌龙的教师职员和工人比较生龙活虎边得意,其实内心对附近的校友到底是个什么程度都以领略的,中华夏儿女民共和国的大学那三个个名师平均水平能达到规定的标准什么样地步也许有底的,结果遇见标题时连基本的消除方案都脱漏了,大约没有不惭愧的退路了-_-

# 输出结果

虚构机通讯设置

本身的操作系统是Linux,所以自身非常的小概在本人的微型机上跑WinDbg来与win7虚构机通讯。

为此小编最后设置了多少个设想机(均运用相似的Win7 Sp1 x86 镜像)。然后本人动用Virtual Box来在本人的Linux上安装了三个文件,小编通过那么些文件来树立三个虚构机之间的通讯。

在虚构机电源关闭的情状下,笔者设置了第二个虚构机的Serial Port。那一个虚构机将被用于周转WinDbg的调节和测验。

科技世界 23

第一个用于安装哈克Sys驱动的虚构机的安装和第三个形似。

科技世界 24

那样,五个虚构机间通过/tmp/win_link的通信就完事了!

  于是也把Windbg拿出去跟,尽管不会用渐渐熟习便是了...但是使用Windbg大器晚成运转livekd,它依然又久违地开首下载新的暗记文件,完了还不忘记给笔者把kd运行了...

#

科技世界 25

上边包车型客车出口结果会在后文讲到,至于什么设置断点,以致在命令行里面查看仓库,在背后讲――写随笔仍然蛮劳顿的。

在这里个项目里自身将会选取的带漏洞驱动是HackSys Extreme Vulnerable Driver, 你能够写意气风发密密麻麻的根据IOCTL的抨击。

实行下边包车型大巴下令看一下加载的结果(注意日前未有一点点号):

.reload