-
-
使用WinDbg网络调试Windows内核看看 TX 在我电脑上干啥了记录下
-
发表于: 2021-10-26 21:20
-
各种翻车现场才有了这个帖子记录下
1.下载WinDbg预览版
2.配置虚拟机搭建双机调试环境
3.查看SSDT钩子
4.查看钩子被抛异常给拦着了
1.下载WinDbg预览版
有人就会问为啥不用系统自带的呢?翻车了呗!死活下载不了本机的预览版
链接:https://pan.baidu.com/s/1A4k9E-GA86BDE1xU6K_E4w
提取码:6508
2.配置虚拟机搭建双机调试环境
0.1原始版手动配不想搞了,一直忘记把打印机给移除了,还手动配有点复杂放弃了(以前搞过用过)
0.2使用 VirtualKD-Redux-2021.3搭建。 虚拟机安装了target64,死活连不上各种翻车,重装系统还是不行,果断放弃了(以前搞过用过)。
0.3经常逛看雪了解了使用WinDbg预览版网络调试Windows,就网络搜索资料尝试了下,还是翻车了。最后发现没有配置虚拟机的IP。
开搞
1.在虚拟里敲几行代码
插入代码
1 | bcdedit /dbgsettings net hostip:192.168.0.120 port:50000 key:abc.def.aaa.ddd |
1 | bcdedit /debug on |
这里的ip是你宿主机的ip(就是终端调试机). 其它的自定义即可
这里我又翻车了windbag连不上,知道通过网连接的,就ping虚拟机的IP尽然不通,开搞一顿操作猛如虎哈哈
终于可以了双机调试了
3.查看SSDT钩子
0.1以前看钩子都是下载专用的软件,一个国内的软件更新慢了,还收费了。
0.2国外的软件下载老慢了,没国产的好用,还是英文的菜单不好用。
我就想winDbg这么强大有它不能干的事么?所以就在网上搜资料查看找了一个看着就喜欢windbag的命令
1 | .foreach /ps 1 /pS 1 ( offset {dd /c 1 nt!KiServiceTable L poi(nt!KeServiceDescriptorTable+10)}){ .printf "%y\n", ( offset >>> 4) + nt!KiServiceTable } |
感觉很牛叉哈哈
记录下将来对比看那个被TX策反叛变了。
运行TX的游戏抛异常中断了再命令刷新下
好了对比下
进去这个网站对比下
https://tool.oschina.net/diff
没发现哈哈
#### 4.查看钩子被抛异常给拦着了,解决异常问题
0.1看能不能windbg设置过滤掉异常
0.2找到那个EXE在疯狂发异常
开搞
1.过滤异常windbg预览英文的不会搞果断放弃
2.找出那个exe在疯狂发异常
先查资料
来个图片压阵
资料显示只可能是上边的程序异常(也就是win32异常)
双机调试的windbg(内核)开始找exe
开始.kill XX.xex 一个一个关闭exe,当关闭到抛异常的exe时,这个世界会安静下来。 哈哈哈找到抛异常的exe。
竟然敢在我电脑上抛异常么?开搞
到此为止找到元凶了
====================================================
所以双机的windbg(内核)暂时用不上了
=========================================================
windbg(用户态)闪亮登场
5.windbg(用户态)闪亮登场处理
1 | windbg(用户态)在虚拟机上打开应用调试吧 |
终于了解了异常处理的思路了哈哈
老规矩喝口水,发来发个图片压阵
相关资料整理
对于调试器的检测检查。只要在相应的检查中填入NOP即可。
对于控制流隐藏。你必须手动追踪程序直到payload。
Windbg调试的重要功能——内核态与用户态进行切换
实践中...........
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
