IDA7.0 配置内核调试,双机调试

目录

• IDA7.0 配置内核调试
  • 一丶 虚拟机 端口与环境配置
  • 二丶 IDA配置调试
    • 2.1 配置IDA Windbg路径
    • 2.2 IDA界面配置
    • 三丶IDA内核调试的常规操作
    • 3.1 断点与运行
      • 3.2 内存的查看与命令敞口

IDA7.0 配置内核调试

一丶 虚拟机 端口与环境配置

虚拟机配置.并且设置com调试端口,可以看我以前写的文章.

这里不再啰嗦.

• xp配置 https://cloud.tencent.com/developer/article/1679978
• win7 及以上配置 https://cloud.tencent.com/developer/article/1515254

设置完毕最后如果按照上面的步骤.那么我们在windbg下的命令行应该是如下

-b -k com:port=//./pipe/com1,baud=115200,pipe

这里我是用的是com1

在这里我们记录下命令

com:port=//./pipe/com1,baud=115200,pipe

当然 //./pipe 你设置的时候可能会设置为

\\.\pipe 这个看你自己怎么设置的

二丶 IDA配置调试

2.1 配置IDA Windbg路径

首先第一步我们需要配置要将 Windbg的路径设置到IDA

记住是路径.而不是windbg.exe. 原因是 IDA需要依靠 windbg目录下的. Dbgeng.dll来进行调试

1.首先去IDA的安装目录,进入到 CFG 文件夹, 找到 ida.cfg 并且以文本文档形式打开(notpad or notepad++)

1. 在文档中搜索 DBGTOOLS 如果找到,你的可能是注释的. 也就是前面有 // 去掉即可.
2. 找到windbg的路径设置进去. 这里需要注意的是 设置的字符串一定是 双斜杠

例子:

DBGTOOLS = "E:\\InstallFile\\Rolan\\IBinaryToolsPacket\\RolanFile\\DebugTools\\Windbg\\X64\\";

2.2 IDA界面配置

• 1.首先在Debugger里面找到 Windbg debugger选项,并且点击进去

• 2.设置命令行为我们刚刚保存的命令行

com:port=//./pipe/com1,baud=115200,pipe

• 3.Debug Options设置为 内核调试模式

• 4设置完成之后如果你调试机器打开了.点击确定之后则会出现如下界面

此时选中kernel 点击OK即可.

三丶IDA内核调试的常规操作

3.1 断点与运行

使用了IDA 快捷键就会发生了变化.

比如我们要 F9 来运行起来

F7 / F8来进行单步 等. windbg是 F10 F11

下断点 使用F2 , windbg F9

3.2 内存的查看与命令敞口

在IDA中查看内存是 Hex-view 直接打开即可查看内存

也可以按住ctrl + 地址. 快速查看一个地址.(这个自己尝试的准不准确不知道了)

断下内核之后可以在下面输入windbg命令

比如我们想要进行符号设置

.symfix 告诉我执行微软的符号地址
.sympath 设置或者查看微软符号路径
.sympath srv*path*httpxxxx 设置符号路径
.reload /i 加载所有符号

至此我们内核调试就已经完成了. 如果你使用的是windbg64的路径. 那么请打开

IDA64来进行调试. 可以调试32的虚拟机系统. 否则你设置的是windbg32的路径

就使用32调试. 不过64都可以调试32 我这里就使用了64