-
-
[原创]windows内核漏洞学习-HEVD篇之双机调试环境搭建(mac)
-
发表于:
2022-2-17 10:08
17635
-
[原创]windows内核漏洞学习-HEVD篇之双机调试环境搭建(mac)
最近开始学习windows内核漏洞,本来想直接开始复现一些内核漏洞,然而发现有很多需要补充的知识,就先从入门靶场HEVD开始学习
环境搭建虽然有蛮多参考文章,但还是碰到了一些奇奇怪怪的问题,所以记录一下
1、被调试机-win7 sp x86虚拟机
2、调试机-win10 x64虚拟机
ps:mac没法用virtualkd(太难受了)(用的串口,内存16G开调试并不卡)
1、安装好两个虚拟机之后,修改两个虚拟机的.vmx文件
被调试机win7:
删除所有serial0相关字段,新增以下配置:
调试机win10:
删除所有serial0相关字段,新增以下配置:
2、修改被调试机win7的开机启动项
以管理员权限打开CMD,依次输入
3、在调试机win10的windbg中设置内核调试的参数
4、确定windbg参数,点击后发现windbg在等待连接了,重启win7后进入调试,即可发现成功连接
连接成功:
断点调试:
(1)win7 sp x86虚拟机没法安装vmware tools
如图,按钮是灰色的
解决方法:
参考:https://cyhour.com/1645/
1、找到vmware里的windows.iso
2、设置为虚拟机的cd/dvd
3、开启虚拟机后即可点击打开vmware tools的安装包
4、安装过程中出现错误
5、下载kb4474419:kb4474419(ps:参考文章中链接失效了,重新找了官网的链接)并安装
6、重新安装vmware tools即可
1、HEVD
2、OSR驱动加载器
打开被调试机win7
打开osr driver loader,driver path设置为hevd.sys的路径
注册服务并启动
在调试机win10上:
打开windbg,设置pdb路径,将hevd的pdb加进去(这里换了一个windbg版本,之前的一直导入不了pdb)
运行
点击browse all global symbols,看到如下情况就成功了
serial0.present
=
"TRUE"
serial0.fileType
=
"pipe"
serial0.fileName
=
"/private/tmp/com1"
serial0.tryNoRxLoss
=
"FALSE"
serial0.pipe.endPoint
=
"server"
serial0.present
=
"TRUE"
serial0.fileType
=
"pipe"
serial0.fileName
=
"/private/tmp/com1"
serial0.tryNoRxLoss
=
"FALSE"
serial0.pipe.endPoint
=
"server"
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!