首页
社区
课程
招聘
修改 vmkd 支持 VMware Workstation
发表于: 2008-4-26 10:40 11099

修改 vmkd 支持 VMware Workstation

2008-4-26 10:40
11099

vmkd 可以大大提高内核调试虚拟机的反应速度,但 VMware server 用起来很不方便,不支持直接从主机拖放文件,每次都得从网络上传。所以花了点时间把 vmkd 修改了一下,现在支持在 VMware Workstation 上使用。vmkd 的原理可以去作者网站上查看,大概是截获内核调试引擎和远程调试器通信的过程,用快速的传输数据方法替换了原来的模拟串口方法,从而加速了内核调试时的响应速度。传输数据时用到了 VMware 提供的 0x12 后门指令,直接和主机上的 vmware-vmx.exe 进程通信,把需要传输的数据存放到某个内存,由注入到 vmware-vmx.exe 进程的 vmxpatch.dll 读取出来后通过新的管道发给调试器。0x12 后门指令由 vmware-vmx.exe 进程中的某一段代码负责响应,vmxpatch.dll 注入时会通过特征码查找这一段代码,因为 VMware Workstation 和 VMware server 这一段代码的特征码不一样,所以 vmkd 查找失败,不支持 VMware Workstation。把 vmxpatch.dll 中的这段特征码修改一下就能实现对 VMware Workstation 的支持。


修改后的 vmxpatch.dll 和之前的文件有这两个差异。


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

上传的附件:
收藏
免费 7
支持
分享
最新回复 (4)
雪    币: 208
活跃值: (40)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
2
好贴,顶啊。
lz能再讲讲0x12后门吗?
2008-4-26 11:15
0
雪    币: 451
活跃值: (78)
能力值: ( LV12,RANK:470 )
在线值:
发帖
回帖
粉丝
3
感谢lz 学习了
以前只听说直接操纵0x64调试vmware内核
2008-4-26 13:11
0
雪    币: 2575
活跃值: (502)
能力值: ( LV2,RANK:85 )
在线值:
发帖
回帖
粉丝
4
小喂的工具精彩
2008-4-26 16:24
0
雪    币: 415
活跃值: (34)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
5
喊一个先,单机内核调试太慢了。小喂万岁
2008-4-28 00:39
0
游客
登录 | 注册 方可回帖
返回
//