-
-
[原创]双机调试应用层程序
-
发表于: 2018-8-24 11:08
-
#如何双机调试应用层程序
##0. 环境配置
工具:windbg, virtualkd
windbg与virtualkd均已支持xp, win7, win8, win8.1, win10
说明windbg中以$$为注释符号
安装windbg, virtualkd
本地运行virtualkd目录下的vmmon64(目标机器64位系统)或者vmmon(目标机器32位系统)
Debugger path选择windbg的路径,根据目标机器位数选择windbg x64或者windbg x86
拷贝virtualkd安装目录下的target文件夹到虚拟机
在虚拟机执行vminstall.exe,重启虚拟机
重启时会自动附加windbg,此时windbg会自动断下来,下面去设置符号
##1. 设置符号
Windbg中 File-Symbol File Path中填写
路径根据自己添加,会把符号从微软的服务器下载下来,保存到本地的路径中
符号设置好了后,就能够调试内核模块了。下面去看看如何调试应用层程序。
F5,windbg运行起来,等待开机。
##2. 双机调试应用层程序
以调试explorer.exe为例
使用以下方式都可以中断于Windbg中
查看explorer.exe的PROCESS信息
切换到explorer.exe进程
lml查看加载的模块,可以看到符号全部已经加载完成
查看explorer主模块的信息
