[原创]VMXICE，未完成的内核调试器，源代码，图，BIN，求指点-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]VMXICE，未完成的内核调试器，源代码，图，BIN，求指点

发表于: 2011-8-10 21:52 38118

[原创]VMXICE，未完成的内核调试器，源代码，图，BIN，求指点

MengXP

2011-8-10 21:52

38118

第二个问题已经知道原因了是锁核心的方法不对。
第一个问题仍然研究中……
代码里的IntHandler是错的。有一些异常cpu压入了faultcode没有平衡堆栈。

原文
//////////////////////
这个暑假有点时间，借助于hyperdbg的源代码，学习了一下VT。就想自己写个基于VT技术的调试器玩玩的。原理上很简单，我们的调试器是主机（HOST），把当前的操作系统放进虚拟机里运行（GUEST），然后调试器可以拦截感兴趣的一些异常。

结果搞了几个星期了单步这个都没搞定啊，真挫。技术太次，以前都没接触过内核调试器这方面，我把代码放出来大家围观一下好了。如果有强人来看到了还望指点啊！！感谢啊~！

这个基本框架是有了，界面山寨了SoftICE，哦SoftICE我的最爱，可惜你只能在vmware里跑……

我说一下遇到的问题。主要是缺页异常的问题。有2点。

第一个是这样的，VM退出返回到HOST处理函数_ExitHandler，我用cli把中断给关了，如果sti打开中断的话，系统直接死机了，我把HOST机的256个IDT全都设置空函数也会死…为什么呢？？

关了中断之后，在_ExitHandler访问被换出的分页内存就悲剧了啊，交给windows处理的话，会直接蓝屏IRQL_NOT_LESS_OR_EQUAL(IRQL=255)。

怎么会访问分页内存呢，是这样的，如果我们调试的是一个运行在应用层的程序，代码段缺页经常发生…我们要读EIP指向的代码反汇编显示到调试器界面上，这一读就缺页异常了…

第二个问题，单步执行指令的时候，如果客户机中断是开着呢。单步一段时间后系统就死掉了，我觉得是因为发生了任务切换，但是为什么会死机啊？！不应该死机吧？如果我在单步前把中断关了，就不会死，但是把中断关了缺页了肿么办啊~客户机蓝屏了啊~！

具体看压缩包里面的源代码，关键的几个部分我都注释了

我的QQ:4003032

希望和大家多多交流…

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

#调试逆向

上传的附件：

vmxice.rar （198.73kb，509次下载）
1.png （31.00kb，1313次下载）
2.png （31.69kb，1309次下载）

收藏・36

免费・7

支持

最新回复 (41) 1 2 ▶
MengXP 雪币： 304 活跃值： (507) 能力值： ( LV3，RANK：30 ) 在线值：发帖 15 回帖 136 粉丝 4 关注私信	MengXP 2 楼说一下用法 F12呼出调试器 F8单步 F11截屏，截屏之后loader有个保存截屏按钮，bmp头硬编码了。。1280x800x32的… 支持3个指令 bpx [address] bc [id] bl …… 2011-8-10 22:07 0
ybhdgggset 雪币： 959 活跃值： (66) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 141 粉丝 0 关注私信	ybhdgggset 3 楼传说中的sf 不过电脑不支持VT 仍然支持lz 2011-8-10 22:17 0
leeone 雪币： 384 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 81 粉丝 0 关注私信	leeone 4 楼强人 2011-8-10 22:22 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 5 楼支持。。。。好东西 2011-8-10 22:46 0
zapline 雪币： 2362 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 66 回帖 2376 粉丝 0 关注私信	zapline 6 楼顶抢个楼先 2011-8-10 23:07 0
MengXP 雪币： 304 活跃值： (507) 能力值： ( LV3，RANK：30 ) 在线值：发帖 15 回帖 136 粉丝 4 关注私信	MengXP 7 楼海风大神。。求指点啊。。 2011-8-10 23:09 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 235 关注私信	cvcvxk 10 8 楼关于缺页：单步前把内存做一次LockAndPages就好多了~阿弥托佛~ 2011-8-10 23:10 0
佛雷姆雪币： 316 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 36 粉丝 0 关注私信	佛雷姆 9 楼好东西.感谢分享. 坐等风月和老v及大神们继续爆料 2011-8-10 23:22 0
zhouws 雪币： 3116 活跃值： (1269) 能力值： ( LV8，RANK：120 ) 在线值：发帖 11 回帖 360 粉丝 6 关注私信	zhouws 2 10 楼技术贴，顶下。看大神们完善 2011-8-11 00:00 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 11 楼内核调试器我不懂啊，你做的已经远远超过我了另外，win7下面执行loader会卡死 2011-8-11 11:52 0
b23526 雪币： 4560 活跃值： (1002) 能力值： ( LV4，RANK：50 ) 在线值：发帖 351 回帖 1832 粉丝 4 关注私信	b23526 12 楼强贴,不得不顶啊 2011-8-11 11:55 0
gog 雪币： 161 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 70 粉丝 0 关注私信	gog 13 楼可以参考一下hyperdbg啊，不是有开源的VMX调试器项目吗 2011-8-11 12:27 0
MengXP 雪币： 304 活跃值： (507) 能力值： ( LV3，RANK：30 ) 在线值：发帖 15 回帖 136 粉丝 4 关注私信	MengXP 14 楼 hyperdbg virtdbg 就这两个里面代码能参考的我都参考了其他还有什么vmx调试器项目？ 2011-8-11 13:13 0
AirDebug 雪币： 34 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 38 粉丝 0 关注私信	AirDebug 15 楼学习，mark一下 2011-8-11 13:39 0
三寸法师雪币： 475 活跃值： (64) 能力值： ( LV5，RANK：60 ) 在线值：发帖 8 回帖 56 粉丝 2 关注私信	三寸法师 1 16 楼看了一下你好像没抄全啊，必然要蓝或者死机的。而且vista以上操作系统肯定不能使用。 2011-8-11 13:41 0
MengXP 雪币： 304 活跃值： (507) 能力值： ( LV3，RANK：30 ) 在线值：发帖 15 回帖 136 粉丝 4 关注私信	MengXP 17 楼 hyperdbg本身也不行啊全抄了又有何用多核锁那个处理的不够在vista以上估计会蓝屏。 2011-8-11 14:14 0
三寸法师雪币： 475 活跃值： (64) 能力值： ( LV5，RANK：60 ) 在线值：发帖 8 回帖 56 粉丝 2 关注私信	三寸法师 1 18 楼其实我说了两个问题一个是你代码没抄全，所以单步不行。第二个才是vista以上操作系统兼容的问题。 2011-8-11 14:33 0
thhacker 雪币： 67 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 26 粉丝 0 关注私信	thhacker 19 楼留着慢慢啃，呵呵，mark！！！ 2011-8-11 14:50 0
MTrickster 雪币： 1337 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	MTrickster 20 楼学习了，以前也尝试过，int1确实是太麻烦了，个人觉得用windbg的那套函数不错，稳定呀 2011-8-11 15:02 0
MengXP 雪币： 304 活跃值： (507) 能力值： ( LV3，RANK：30 ) 在线值：发帖 15 回帖 136 粉丝 4 关注私信	MengXP 21 楼不是抄全不抄全的问题。我肯定你没试过hyperdbg 你自己去试试hyperdbg的单步就知道了。把video.c改一下在物理机上跑，别在bochs里跑。 bochs模拟的那套vmx指令集有很多bug，跟物理cpu差太多。 hyperdbg没你们想象的那么牛逼。他只是一个demo罢了。很多问题根本没有考虑。我1楼说的第二个问题我已经知道怎么回事了。就是锁核心的问题。换成单核单步不会死机。第一个vmm里面访问缺页内存的问题还没有解决方法。 2011-8-11 17:37 0
奘和雪币： 4902 活跃值： (120) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 744 粉丝 0 关注私信	奘和 22 楼收到了可惜同2#。。。 2011-8-11 21:08 0
lwykj 雪币： 1054 活跃值： (1258) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 243 粉丝 1 关注私信	lwykj 23 楼 mark .... 2011-8-14 02:35 0
tihty 雪币： 27 活跃值： (127) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 1095 粉丝 3 关注私信	tihty 2 24 楼以前曾经梦想做个这样的,水平不够,一直没能实现谢谢楼主的分享, 好帖的第1页没了:( 2011-8-14 06:35 0
tornodo 雪币： 437 活跃值： (110) 能力值： ( LV5，RANK：70 ) 在线值：发帖 7 回帖 232 粉丝 0 关注私信	tornodo 1 25 楼感谢楼主分享。学习了 2011-8-14 06:48 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

MengXP

发帖

136

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (41) 1 2 ▶
MengXP 雪币： 304 活跃值： (507) 能力值： ( LV3，RANK：30 ) 在线值：发帖 15 回帖 136 粉丝 4 关注私信	MengXP 2 楼说一下用法 F12呼出调试器 F8单步 F11截屏，截屏之后loader有个保存截屏按钮，bmp头硬编码了。。1280x800x32的… 支持3个指令 bpx [address] bc [id] bl …… 2011-8-10 22:07 0
ybhdgggset 雪币： 959 活跃值： (66) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 141 粉丝 0 关注私信	ybhdgggset 3 楼传说中的sf 不过电脑不支持VT 仍然支持lz 2011-8-10 22:17 0
leeone 雪币： 384 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 81 粉丝 0 关注私信	leeone 4 楼强人 2011-8-10 22:22 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 5 楼支持。。。。好东西 2011-8-10 22:46 0
zapline 雪币： 2362 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 66 回帖 2376 粉丝 0 关注私信	zapline 6 楼顶抢个楼先 2011-8-10 23:07 0
MengXP 雪币： 304 活跃值： (507) 能力值： ( LV3，RANK：30 ) 在线值：发帖 15 回帖 136 粉丝 4 关注私信	MengXP 7 楼海风大神。。求指点啊。。 2011-8-10 23:09 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 235 关注私信	cvcvxk 10 8 楼关于缺页：单步前把内存做一次LockAndPages就好多了~阿弥托佛~ 2011-8-10 23:10 0
佛雷姆雪币： 316 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 36 粉丝 0 关注私信	佛雷姆 9 楼好东西.感谢分享. 坐等风月和老v及大神们继续爆料 2011-8-10 23:22 0
zhouws 雪币： 3116 活跃值： (1269) 能力值： ( LV8，RANK：120 ) 在线值：发帖 11 回帖 360 粉丝 6 关注私信	zhouws 2 10 楼技术贴，顶下。看大神们完善 2011-8-11 00:00 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 11 楼内核调试器我不懂啊，你做的已经远远超过我了另外，win7下面执行loader会卡死 2011-8-11 11:52 0
b23526 雪币： 4560 活跃值： (1002) 能力值： ( LV4，RANK：50 ) 在线值：发帖 351 回帖 1832 粉丝 4 关注私信	b23526 12 楼强贴,不得不顶啊 2011-8-11 11:55 0
gog 雪币： 161 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 70 粉丝 0 关注私信	gog 13 楼可以参考一下hyperdbg啊，不是有开源的VMX调试器项目吗 2011-8-11 12:27 0
MengXP 雪币： 304 活跃值： (507) 能力值： ( LV3，RANK：30 ) 在线值：发帖 15 回帖 136 粉丝 4 关注私信	MengXP 14 楼 hyperdbg virtdbg 就这两个里面代码能参考的我都参考了其他还有什么vmx调试器项目？ 2011-8-11 13:13 0
AirDebug 雪币： 34 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 38 粉丝 0 关注私信	AirDebug 15 楼学习，mark一下 2011-8-11 13:39 0
三寸法师雪币： 475 活跃值： (64) 能力值： ( LV5，RANK：60 ) 在线值：发帖 8 回帖 56 粉丝 2 关注私信	三寸法师 1 16 楼看了一下你好像没抄全啊，必然要蓝或者死机的。而且vista以上操作系统肯定不能使用。 2011-8-11 13:41 0
MengXP 雪币： 304 活跃值： (507) 能力值： ( LV3，RANK：30 ) 在线值：发帖 15 回帖 136 粉丝 4 关注私信	MengXP 17 楼 hyperdbg本身也不行啊全抄了又有何用多核锁那个处理的不够在vista以上估计会蓝屏。 2011-8-11 14:14 0
三寸法师雪币： 475 活跃值： (64) 能力值： ( LV5，RANK：60 ) 在线值：发帖 8 回帖 56 粉丝 2 关注私信	三寸法师 1 18 楼其实我说了两个问题一个是你代码没抄全，所以单步不行。第二个才是vista以上操作系统兼容的问题。 2011-8-11 14:33 0
thhacker 雪币： 67 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 26 粉丝 0 关注私信	thhacker 19 楼留着慢慢啃，呵呵，mark！！！ 2011-8-11 14:50 0
MTrickster 雪币： 1337 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	MTrickster 20 楼学习了，以前也尝试过，int1确实是太麻烦了，个人觉得用windbg的那套函数不错，稳定呀 2011-8-11 15:02 0
MengXP 雪币： 304 活跃值： (507) 能力值： ( LV3，RANK：30 ) 在线值：发帖 15 回帖 136 粉丝 4 关注私信	MengXP 21 楼不是抄全不抄全的问题。我肯定你没试过hyperdbg 你自己去试试hyperdbg的单步就知道了。把video.c改一下在物理机上跑，别在bochs里跑。 bochs模拟的那套vmx指令集有很多bug，跟物理cpu差太多。 hyperdbg没你们想象的那么牛逼。他只是一个demo罢了。很多问题根本没有考虑。我1楼说的第二个问题我已经知道怎么回事了。就是锁核心的问题。换成单核单步不会死机。第一个vmm里面访问缺页内存的问题还没有解决方法。 2011-8-11 17:37 0
奘和雪币： 4902 活跃值： (120) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 744 粉丝 0 关注私信	奘和 22 楼收到了可惜同2#。。。 2011-8-11 21:08 0
lwykj 雪币： 1054 活跃值： (1258) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 243 粉丝 1 关注私信	lwykj 23 楼 mark .... 2011-8-14 02:35 0
tihty 雪币： 27 活跃值： (127) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 1095 粉丝 3 关注私信	tihty 2 24 楼以前曾经梦想做个这样的,水平不够,一直没能实现谢谢楼主的分享, 好帖的第1页没了:( 2011-8-14 06:35 0
tornodo 雪币： 437 活跃值： (110) 能力值： ( LV5，RANK：70 ) 在线值：发帖 7 回帖 232 粉丝 0 关注私信	tornodo 1 25 楼感谢楼主分享。学习了 2011-8-14 06:48 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复