-
-
[原创]windows内核漏洞学习-HEVD篇之双机调试环境搭建(mac)
-
2022-2-17 10:08
-
最近开始学习windows内核漏洞,本来想直接开始复现一些内核漏洞,然而发现有很多需要补充的知识,就先从入门靶场HEVD开始学习
环境搭建虽然有蛮多参考文章,但还是碰到了一些奇奇怪怪的问题,所以记录一下
0x01 双机调试环境搭建
所需工具:
1、被调试机-win7 sp x86虚拟机
2、调试机-win10 x64虚拟机
ps:mac没法用virtualkd(太难受了)(用的串口,内存16G开调试并不卡)
搭建过程:
1、安装好两个虚拟机之后,修改两个虚拟机的.vmx文件
被调试机win7:
删除所有serial0相关字段,新增以下配置:
1 2 3 4 5 | serial0.present = "TRUE"serial0.fileType = "pipe"serial0.fileName = "/private/tmp/com1"serial0.tryNoRxLoss = "FALSE"serial0.pipe.endPoint = "server" |
调试机win10:
删除所有serial0相关字段,新增以下配置:
1 2 3 4 5 | serial0.present = "TRUE"serial0.fileType = "pipe"serial0.fileName = "/private/tmp/com1"serial0.tryNoRxLoss = "FALSE"serial0.pipe.endPoint = "client" |
2、修改被调试机win7的开机启动项
以管理员权限打开CMD,依次输入
1 2 3 4 | bcdedit /copy {current} /d "Windows Debug Entry"bcdedit /dbgsettings serial baudrate:115200 debugport:1bcdedit /debug {提供的标识符} ONbcdedit /set {提供的标识符} TESTSIGNING on |
3、在调试机win10的windbg中设置内核调试的参数
4、确定windbg参数,点击后发现windbg在等待连接了,重启win7后进入调试,即可发现成功连接
连接成功:
断点调试:
出现的问题:
(1)win7 sp x86虚拟机没法安装vmware tools
如图,按钮是灰色的
解决方法:
参考:https://cyhour.com/1645/
1、找到vmware里的windows.iso
2、设置为虚拟机的cd/dvd
3、开启虚拟机后即可点击打开vmware tools的安装包
4、安装过程中出现错误
5、下载kb4474419:kb4474419(ps:参考文章中链接失效了,重新找了官网的链接)并安装
6、重新安装vmware tools即可
0x02 HEVD搭建
所需工具:
搭建过程:
打开被调试机win7
打开osr driver loader,driver path设置为hevd.sys的路径
注册服务并启动
在调试机win10上:
打开windbg,设置pdb路径,将hevd的pdb加进去(这里换了一个windbg版本,之前的一直导入不了pdb)
运行
1 2 | lm m H*lmDvmHEVD |
点击browse all global symbols,看到如下情况就成功了
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
