基于VirtualBox虚拟机和上位机的Windows内核调试.pdfVIP

基于VirtualBox 虚拟机的Windows 内核调试    由于使用WinDbg 对内核进行调试的方法是基于双机调试，一台计算机为调试机，另外一台 为被调试机，之间通过串口线相连，但实际使用中常使用单台计算机外加虚拟机的方法实现。  在《天书夜读》一书中介绍的方法为使用VMware 来创建虚拟机，下面就使用VirtualBox 创 建的虚拟机的链接方法做一介绍。    步骤1. 创建虚拟机中的windows XP 系统，打开系统盘（一般为C 盘），启动“不隐藏系统 保护”选项，在系统盘下看到一个文件 ，将最后一行： multi(0)disk(0)rdisk(0)partition(1)\WINDOWS=”Microsoft  Windows  XP  Professional”/noexecute=optin/fastdetect 复制，并粘贴在文件最后端，之后添加新的参数即 可 :  multi(0)disk(0)rdisk(0)partition(1)\WINDOWS=”Microsoft  Windows  XP  Professional”/noexecute=optin/fastdetect/debug/debugport=port1/baudrate=115200 ，保存 ini 文件（若无法保存则更改文件的只读属性后保存）。之后重启系统就会看到 windows xp 的 Debug 模式的选项    步骤2. 设置VirtualBox 虚拟机调试。先不要启动虚拟机系统，单击虚拟机的“设置”选项    之后选择串口，按照下图中的选择设置串口1，之后虚拟机系统，进入Debug 模式的windows  XP      步骤3. 在本地计算机（不是虚拟机）安装WinDbg 软件，安装成功后必须按照如下的参数 启：windbg.exe –b –k com:port=\\.\pipe\com_1,baud=115200,pipe    按照《天书夜读》中指出每次这样输入指令参数很不方便，方便的方法是在桌面上做一个快 捷方式，然后把前面的参数加到快捷方式的“目标”里，不过我暂时还不会，如果哪位懂， 请赐教。  WinDbg 执行后本地计算机将与虚拟机系统进行连接如下图示：    进入了现在就可以调试windows 内核中的任何函数，例如输入命令查看IoCreateFile 内核函 数：u IoCreateFile  结果如下图：    这只是其中代码的一部分，如果想查看全部代码，可以在 WinDbg 主菜单“View ”‐》 “Disassembly”，在offset 总输入看到IoCreateFile 开始地址805724f7 （见上图中红线处）即 可查看。如下图示：