Windbg基本概念

Windbg命令分类：
1、内置标准命令
Windbg软件自带的命令，它没有其他符号前缀可以直接执行，无需拉起其他程序模块就可以运行。

2、元命令
通过其他进程实现某个命令功能，并且讲输出反馈回Windbg。例如我们查看文档手册的.hh就是调用了其他的进程来解析Windbg帮助手册的。

3、拓展命令
拓展命令通过增加调试模块（dll）赋予Windbg其他强大的调试功能，只要遵守Windbg调试模型，程序员可以自由编写这种拓展命令实现自己想要的目的和功能（也就是我们俗称的插件）。拓展命令的前缀是一个感叹号（！）
常用的拓展命令语法：
！DLL模块名.DLL中导出函数名 [参数] （可以通过Windbg命令行传递参数）
这些具体的命令功能被包含在与调试器独立的dll中。我们可以在Windbg软件目录下找到对应的DLL。下面红线框标记出的分别是用户态拓展模块（DLL）和用户态拓展模块（DLL）

如果我们在使用拓展命令没有指定具体模块，那么Windbg就会查看所有DLL的导出表找到对应的导出函数（命令）。比如我们常见的一些拓展命令：!teb（用来获取线程环境块）、!thread（获得当前线程信息）
要注意：
如果Windbg调用拓展命令后，发现模块并没有加载内存，Windbg就会隐式的将对应的DLL加载到内存。如果想要主动加载DLL到内存中，我们需要调用.load指令（需要指定DLL的完整路径字符）。该指令有了之前的基础应该很好理解，利用其他的第三方进程，加载想要的模块到Windbg的内存中。

Windbg调试的重要功能——内核态与用户态进行切换

在我们进行正常的调试过程中，我们可能会有这样一种需求：
是否能够让Windbg调试器进行用户态调试和内核态调试模式之间来回转换，并且可以将用户态调试会话与系统行为同步起来。其实微软在早期就考虑到了开发人员的这种特殊需求。
首先在启动用户态重定向前，我们要启动内核态调试器（也就是双机调试环境，具体搭建方法论坛内已经很多了我这里不在赘述）。

输入G指令，让内核态调试器进入正常运行的模式。

接下来我们需要使用DDK工具包下的ntsd.exe工具，将用户态的调试信息重定向到内核态的Windbg调试器（cdb.exe、ntsd.exe和windbg.exe是基于相同引擎开发出来的），输入以下命令：
ntsd -d <要调试目标程序的路径>
ntsd -d -p <要附加进程的PID>
这里有意思的一点是，虽然三个系统调试器是相同引擎，但是Windbg貌似并不支持将用户态信息重定向给内核态的Windbg。

输入调试重定向指令，我这里以桌面上的Hash.exe为例子演示。在命令提示符中输入ntsd -d+要调试的进程目标路径。
同理我们也可以使用 ntsd -d -p <PID>来附加到某个运行中的线程，并将用户调试信息转发给内核态。

转到我们的内核态Windbg调试器，可以看到命令提示符从内核态（kd）变为了用户态（Input）。要注意的一点是，即使命令提示符是重定向用户态的调试信息，但是Windbg调试器仍然是在用户态权限下运行，仍然具有控制操作系统的权限。也就是说如果我们输入G命令，仍然可以让操作系统运行起来，调试器中断仍然会让系统暂停。

当我们在用户态的提示符下输入一个新命令，Windbg内核调试器会将命令转发回用户态的ntsd用户调试器并恢复系统行为。而ntsd调试会将用户态下调试的信息重新发回给Windbg的控制台，Windbg会重新进入<Input>用户态提示符。（也就是每次输入命令后Windbg就会执行G，将命令发给ntsd。ntsd接到命令执行，将结果返回给Windbg。如果Windbg接到命令就会再次挂起系统然后将返回结果呈现给调试器）

内核态与用户态切换的方法

1、用户态切换回内核态

（1）在命令提示符中输入.breakin命令，利用breakin.exe这个第三方程序帮助切换回内核态调试提示符。这个命令要求调试器拥有SeDebugPrivilege权限。如果调试器运行在没有调试权限的账号下回报错。

（2）另一种回到内核态的方法
在用户态下，执行某个很长的时间任务的时候，例如使用一个休眠指令来引发一个中断（也可以使用Ctrl+C）。内核调试器会将聚合见Ctrl+C视为一个内核事件，以此返回内核提示符处理该内核中断事件。

2、内核态返回用户态命令提示符

（1）从内核态返回用户态提示符
使用!bpid <需要返回的目标pid>（而且目标进程还需要ntsd挂在调试目标上）

（2）直接使用breakin.exe对目标进程重定向
在cmd中输入breakin 目标进程pid

可以发现重定向了用户态调试信息。

[课程]FART 脱壳王！加量不加价！FART作者讲授！