最近开始学习windows内核漏洞，本来想直接开始复现一些内核漏洞，然而发现有很多需要补充的知识，就先从入门靶场HEVD开始学习
环境搭建虽然有蛮多参考文章，但还是碰到了一些奇奇怪怪的问题，所以记录一下

1、被调试机-win7 sp x86虚拟机
2、调试机-win10 x64虚拟机
ps:mac没法用virtualkd（太难受了）（用的串口，内存16G开调试并不卡）

1、安装好两个虚拟机之后，修改两个虚拟机的.vmx文件
被调试机win7：

删除所有serial0相关字段，新增以下配置：

调试机win10：
删除所有serial0相关字段，新增以下配置：

2、修改被调试机win7的开机启动项

以管理员权限打开CMD，依次输入

3、在调试机win10的windbg中设置内核调试的参数

4、确定windbg参数，点击后发现windbg在等待连接了，重启win7后进入调试，即可发现成功连接

连接成功：

断点调试：

（1）win7 sp x86虚拟机没法安装vmware tools
如图，按钮是灰色的

解决方法：
参考：https://cyhour.com/1645/
1、找到vmware里的windows.iso

2、设置为虚拟机的cd/dvd

3、开启虚拟机后即可点击打开vmware tools的安装包

4、安装过程中出现错误

5、下载kb4474419：kb4474419（ps:参考文章中链接失效了，重新找了官网的链接）并安装

6、重新安装vmware tools即可

1、HEVD
2、OSR驱动加载器

打开被调试机win7
打开osr driver loader，driver path设置为hevd.sys的路径


注册服务并启动

在调试机win10上：
打开windbg，设置pdb路径，将hevd的pdb加进去（这里换了一个windbg版本，之前的一直导入不了pdb）
运行

点击browse all global symbols，看到如下情况就成功了

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！