[求助]求助啊WINDBG和VM虚拟机双机调试出错-软件逆向-看雪-安全社区|安全招聘|kanxue.com

0

[求助]求助啊WINDBG和VM虚拟机双机调试出错

发表于: 2015-1-2 18:27 6988

[求助]求助啊WINDBG和VM虚拟机双机调试出错

星耀浮沉

活跃值

2015-1-2 18:27

6988

Microsoft (R) Windows Debugger Version 6.3.9600.17237 AMD64
Copyright (c) Microsoft Corporation. All rights reserved.

Opened \\.\pipe\com_1
Waiting to reconnect...
Connected to Windows XP 2600 x86 compatible target at (Fri Jan  2 17:52:47.472 2015 (UTC + 8:00)), ptr64 FALSE
Kernel Debugger connection established.
WARNING: Whitespace at start of path element

************* Symbol Path validation summary **************
Response                      Time (ms)    Location
OK                                           C:\MyLocalSymbols
Symbol search path is: C:\MyLocalSymbols; SRV*C:\MyLocalSymbols*http://msdl.microsoft.com/download/symbols
Executable search path is:
Windows XP Kernel Version 2600 UP Free x86 compatible
Built by: 2600.xpsp.080413-2111
Machine Name:
Kernel base = 0x804d8000 PsLoadedModuleList = 0x80554fc0
System Uptime: not available
WARNING: Whitespace at start of path element

************* Symbol Path validation summary **************
Response                      Time (ms)    Location
OK                                           C:\MyLocalSymbols
Deferred                                     srv*c:\symbols*http://msdl.mircrosoft.com/download/symbols
ERROR: DavReadRegistryValues/RegQueryValueExW(4). WStatus = 5
ERROR: DavReadRegistryValues/RegQueryValueExW(5). WStatus = 5
ERROR: DavReadRegistryValues/RegQueryValueExW(6). WStatus = 5
watchdog!WdUpdateRecoveryState: Recovery enabled.

打开虚拟机后在开WINDBG连接上了就这样命令行都没输入g 都自动取消断点开机了。。。求大神帮帮忙啊

"C:\Program Files (x86)\Windows Kits\8.1\Debuggers\x64\windbg.exe" -k com:port=\\.\pipe\com_1,baud=11520,pipe 这是目标的设置

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・0

免费

支持

分享

最新回复 (8)
星耀浮沉雪币： 995 活跃值： (669) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 154 粉丝 1 关注私信	星耀浮沉 2 楼 Microsoft (R) Windows Debugger Version 6.3.9600.17237 AMD64 Copyright (c) Microsoft Corporation. All rights reserved. Opened \\.\pipe\com_1 Waiting to reconnect... Connected to Windows XP 2600 x86 compatible target at (Fri Jan 2 18:33:36.477 2015 (UTC + 8:00)), ptr64 FALSE Kernel Debugger connection established. WARNING: Whitespace at start of path element *********** Symbol Path validation summary ************ Response Time (ms) Location OK C:\MyLocalSymbols Symbol search path is: C:\MyLocalSymbols; SRVC:\MyLocalSymbolshttp://msdl.microsoft.com/download/symbols Executable search path is: Windows XP Kernel Version 2600 UP Free x86 compatible Built by: 2600.xpsp_sp3_gdr.101209-1647 Machine Name: Kernel base = 0x804d8000 PsLoadedModuleList = 0x805550c0 System Uptime: not available WARNING: Whitespace at start of path element *********** Symbol Path validation summary ************ Response Time (ms) Location OK C:\MyLocalSymbols Deferred srvc:\symbolshttp://msdl.mircrosoft.com/download/symbols nt!DebugService2+0x10: 8052f4f4 cc int 3 kd> g ERROR: DavReadRegistryValues/RegQueryValueExW(4). WStatus = 5 ERROR: DavReadRegistryValues/RegQueryValueExW(5). WStatus = 5 ERROR: DavReadRegistryValues/RegQueryValueExW(6). WStatus = 5 删除串口重新弄了个可以断下了输入G后系统开始启动然后就这样了命令行一直是Debuggee is running... 不能输入怎么回事啊 2015-1-2 18:35 0
天涯何处雪币： 44 活跃值： (186) 能力值： ( LV2，RANK：10 ) 在线值：发帖 39 回帖 335 粉丝 1 关注私信	天涯何处 3 楼果断换个WINDBG再不行系统重装 2015-1-2 20:35 0
cvrock 雪币： 1443 活跃值： (101) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 151 粉丝 0 关注私信	cvrock 4 楼你已经连上了啊，不能输入是因为你没断下来，哪里出错了？ 2015-1-2 21:24 0
星耀浮沉雪币： 995 活跃值： (669) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 154 粉丝 1 关注私信	星耀浮沉 5 楼 ..问题一直不断下来怎么破 2015-1-2 22:26 0
星耀浮沉雪币： 995 活跃值： (669) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 154 粉丝 1 关注私信	星耀浮沉 6 楼好吧是我**了第一次用WINDBG以为像OD那样随便输入原来要中断才可以输入不过 ERROR: DavReadRegistryValues/RegQueryValueExW(4). WStatus = 5 ERROR: DavReadRegistryValues/RegQueryValueExW(5). WStatus = 5 ERROR: DavReadRegistryValues/RegQueryValueExW(6). WStatus = 5 这怎么回事啊 2015-1-2 22:41 0
cvrock 雪币： 1443 活跃值： (101) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 151 粉丝 0 关注私信	cvrock 7 楼那是系统自己的WebDAV的调试输出，可以忽略。 2015-1-2 22:55 0
星耀浮沉雪币： 995 活跃值： (669) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 154 粉丝 1 关注私信	星耀浮沉 8 楼 kd> u ntdll!ZwOpenProcess Couldn't resolve error at 'ntdll!ZwOpenProcess' 为什么会这样啊如果直接 u 0xxxxxx内核函数地址就可以反汇编出来直接符号就不可以符号已经自动下载了啊 2015-1-2 23:07 0
cvrock 雪币： 1443 活跃值： (101) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 151 粉丝 0 关注私信	cvrock 9 楼你现在在内核地址空间，是没有ntdll模块的，先确定下你是希望下应用层断点还是内核？如果是内核断点，模块名用nt。如果是应用层断点，先找到对应进程的eprocess，然后!process /i切换过去，最后.reload /user强制加载应用层pdb才能在这里下断点。 2015-1-3 01:31 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

返回

星耀浮沉

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区