内核调试工具笔记

小白真诚分享不是装逼，大神勿喷！同是小白人，多赞多快乐！
作者：精灵（^_^）/淘气鬼
Windows调试员工具包自带有4个不同的调试器
?微软控制台调试器：cdb.exe          用于调试用户模式的应用程序运行于基本的控
?NT符号调试器   NTSD.exe          命令行制台
?微软内核调试器    KD.exe          用于系统内核调试
?微软windows 内核调试 Windbg.exe   窗口类型系统内核调试

配置CDB.exe
1.建立调试环境
2.获取必要的符号文件

调试环境由三个环境变量组成
①　_NT_SOURCE_PATH  目标二进制源代码文件路径
②　_NT_SYBOL_PATH   符号文件目录根节点路径
③　_NT_DEBUG_LOG_FILE_OPEN 指定用于记录调试会话框日志文件
符号文件由两部分组成
①　共有符号信息：包含应用程序的函数名、地址、每个局部变量的描述，复合数据类型
②　私有符号信息：表述类似于局部变量的程序元素，是源代码执行到机器指令映射更加方便，容易
文件符号路径：
   SRV*C:\Symbols*http://msdl.microsoft.com/download/sysbols
CDB.exe调试用户模式应用程序方式
①　CDB.exe启动应用程序               例如：cdb.exe FileName.exe
②　将CDB.exe附加至已经运行的进程里cdb.exe -p ProcessID /cdb.exe -pn FileName.exe 
③　CDB.exe针对某个进程进行非入侵式调试     cdb.exe -pv -p ProcessID
                                             Cdb.exe -pv -pn FileName.exe

以下命令均在windbg下执行
调试命令行解释及示例：
bl                列举已存在的断点
bc breakpoint      删除指定断点
bp  FunctionName 在指定的函数起点中设置断点
bp               当前的地址（EIP值）下断点  

示例：           依次执行以下命令
bp               现在当前位置下断点
bp WriteFile       给WriteFile函数起点下断点
bl               得到如下结果
bc 0,1            删除ID为0 ，1断点
bl               得到空列表结果

-g 忽略程序的入口断点     
-G 忽略程序的终点
CTRL B 组合件 再ENTER 紧急逃生出口，有效阻止系统崩溃
g 执行到下一个断点
t 执行下一条指令，单步步入F8/F11（相当于OD的F7）
p 执行到下一条指令，单步步过 F10（相当于OD的F8）
gu 执行到当前函数结束并返回到上一函数处
q 退出
检查符号命令
x module!symbol     报告指定符号的地址
x*!                列举当前加载的所有模块
x module!*          列举指定模块所有的符号及其地址
x module!symbol*    列举所有与”arg”通配符过滤器匹配的符号
例如：依次输入以下命令行
0:000> x*!          列举当前加载的所有模块
start             end                 module name
00000000`00400000 00000000`00417000   image00000000_00400000   (deferred)             
00000000`74a60000 00000000`74a68000   wow64cpu   (deferred)             
00000000`74a70000 00000000`74acc000   wow64win   (deferred)             
00000000`74ad0000 00000000`74b0f000   wow64      (deferred)             
00000000`76f30000 00000000`770d9000   ntdll      (export symbols)       C:\Windows\SYSTEM32\ntdll.dll
00000000`77110000 00000000`77290000   ntdll32    (deferred)             

0:000> x ntdll*!
00000000`76f311f0 ntdll!RtlWalkHeap (<no parameter info>)
00000000`76f313a0 ntdll!RtlpEnsureBufferSize (<no parameter info>)
00000000`76f318a0 ntdll!RtlDeleteAce (<no parameter info>)
00000000`76f31b24 ntdll!vsnwprintf_s (<no parameter info>)
00000000`76f31c00 ntdll!RtlCreateActivationContext (<no parameter info>)
00000000`76f31ec0 ntdll!isalpha (<no parameter info>)
00000000`76f31ef0 ntdll!ultoa (<no parameter info>)
…………

0:000> x ntdll!RtlWalkHeap           报告指定符号的地址
00000000`76f311f0 ntdll!RtlWalkHeap (<no parameter info>)

0:000>  x ntdll!RtlWalkHeap*        列举所有与”arg”通配符过滤器匹配的符号
00000000`76f311f0 ntdll!RtlWalkHeap (<no parameter info>)

lm                列举所有已加载的所有模块
!lmi*              扩展命令接收以模块名或者基地址为参数 以显示模块的相关信息
lm v               同上
dt                 显示类型命令               
例如：依次输入以下命令行
0:000> lm          列举所有已加载的所有模块
start             end                 module name
00000000`00400000 00000000`00417000   image00000000_00400000   (deferred)             
00000000`74a60000 00000000`74a68000   wow64cpu   (deferred)             
00000000`74a70000 00000000`74acc000   wow64win   (deferred)             
00000000`74ad0000 00000000`74b0f000   wow64      (deferred)             
00000000`76f30000 00000000`770d9000   ntdll      (export symbols)       C:\Windows\SYSTEM32\ntdll.dll
00000000`77110000 00000000`77290000   ntdll32    (deferred)             
0:000> !lmi*       扩展命令接收以模块名或者基地址为参数 以显示模块的相关信息
No export lmi* found
0:000> lm ntdll
Unknown option ‘d‘
start             end                 module name
00000000`76f30000 00000000`770d9000   ntdll    ntdll.dll    Sat Nov 20 21:11:21 2010 (4CE7C8F9)
0:000> lm v       扩展命令接收以模块名或者基地址为参数 以显示模块的相关信息
start             end                 module name
00000000`00400000 00000000`00417000   image00000000_00400000   (deferred)             
    Image path: image00000000`00400000
    Image name: image00000000`00400000
    Timestamp:        Sun Apr 05 19:54:38 2015 (5521227E)
    CheckSum:         00000000
    ImageSize:        00017000
    Translations:     0000.04b0 0000.04e4 0409.04b0 0409.04e4
00000000`74a60000 00000000`74a68000   wow64cpu   (deferred)             
    Image path: C:\Windows\SYSTEM32\wow64cpu.dll
    Image name: wow64cpu.dll
    Timestamp:        Tue Aug 21 02:48:10 2012 (5032866A)
    CheckSum:         000048A0
    ImageSize:        00008000
    File version:     6.1.7601.17932
    Product version:  6.1.7601.17932
    File flags:       0 (Mask 3F)
    File OS:          40004 NT Win32
    File type:        2.0 Dll

反汇编命令
u                 反汇编当前地址开始的8条指令
u address          反汇编指定地址开始的8条指令
u start end          反汇编从指定地址到另一个指定地址的指令
例如：依次输入以下命令行
0:000> u
ntdll!CsrSetPriorityClass+0x40:
00000000`76fdcb60 cc              int     3
00000000`76fdcb61 eb00       jmp     ntdll!CsrSetPriorityClass+0x43 (00000000`76fdcb63)
00000000`76fdcb63 4883c438        add     rsp,38h
00000000`76fdcb67 c3              ret
00000000`76fdcb68 90              nop
00000000`76fdcb69 90              nop
00000000`76fdcb6a 90              nop
00000000`76fdcb6b 90              nop
0:000> u 74a70000  反汇编指定地址开始的8条指令，74a70000是wow64win的基址
*** ERROR: Symbol file could not be found.  Defaulted to export symbols for C:\Windows\SYSTEM32\wow64win.dll - （出现这个，是因为我还没配置文件符号表路径）（配置方式：文件==》文件符号表路径==》输入：srv*c:\symbolslocal*http://msdl.microsoft.com/download/symbols;D:\Symbols   c:\symbolslocal文件符号暂存地方；http://msdl.microsoft.com/download/symbols  微软文件符号表服务器；D:\Symbols 文件符号表自行解压的地方（在不联网的时候可以自行匹配文件符号））
wow64win:
00000000`74a70000 4d5a            pop     r10
00000000`74a70002 90              nop
00000000`74a70003 0003            add     byte ptr [rbx],al
00000000`74a70005 0000            add     byte ptr [rax],al
00000000`74a70007 000400          add     byte ptr [rax+rax],al
00000000`74a7000a 0000            add     byte ptr [rax],al
00000000`74a7000c ff              ???
00000000`74a7000d ff00            inc     dword ptr [rax]

0:000> u 74a70000 74a7000a         反汇编从指定地址到另一个指定地址的指令
wow64win:
00000000`74a70000 4d5a            pop     r10
00000000`74a70002 90              nop
00000000`74a70003 0003            add     byte ptr [rbx],al
00000000`74a70005 0000            add     byte ptr [rax],al
00000000`74a70007 000400          add     byte ptr [rax+rax],al
00000000`74a7000a 0000            add     byte ptr [rax],al

数据显示命令
db addressRange    显示16进制数据及ASCII字节值（默认数据为128个字节）
dw addressRange   显示16进制及ASCII字值
dd addressRange    显示16进制及ASCII码双字
dps addressRange   显示和解析指针表
dg start end        显示给定地址范围的段描述符
.formats   XXXX  将一个数列出他的相关进制的表示
r                 显示当前所有通用寄存器的各寄存器的当前值

0:000> db 74a70000  显示pe DOS头文件 16进制数据及ASCII字节值（默认数据为128个字节）
00000000`74a70000  4d 5a 90 00 03 00 00 00-04 00 00 00 ff ff 00 00  MZ..............
00000000`74a70010  b8 00 00 00 00 00 00 00-40 00 00 00 00 00 00 00  ........@.......
00000000`74a70020  00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00  ................
00000000`74a70030  00 00 00 00 00 00 00 00-00 00 00 00 f0 00 00 00  ................
00000000`74a70040  0e 1f ba 0e 00 b4 09 cd-21 b8 01 4c cd 21 54 68  ........!..L.!Th
00000000`74a70050  69 73 20 70 72 6f 67 72-61 6d 20 63 61 6e 6e 6f  is program canno
00000000`74a70060  74 20 62 65 20 72 75 6e-20 69 6e 20 44 4f 53 20  t be run in DOS 
00000000`74a70070  6d 6f 64 65 2e 0d 0d 0a-24 00 00 00 00 00 00 00  mode....$.......

0:000> dw 74a70000  显示16进制及word 类型ASCII字值
00000000`74a70000  5a4d 0090 0003 0000 0004 0000 ffff 0000
00000000`74a70010  00b8 0000 0000 0000 0040 0000 0000 0000
00000000`74a70020  0000 0000 0000 0000 0000 0000 0000 0000
00000000`74a70030  0000 0000 0000 0000 0000 0000 00f0 0000
00000000`74a70040  1f0e 0eba b400 cd09 b821 4c01 21cd 6854
00000000`74a70050  7369 7020 6f72 7267 6d61 6320 6e61 6f6e
00000000`74a70060  2074 6562 7220 6e75 6920 206e 4f44 2053
00000000`74a70070  6f6d 6564 0d2e 0a0d 0024 0000 0000 0000

0:000> dd 74a70000  显示16进制及ASCII码双字
00000000`74a70000  00905a4d 00000003 00000004 0000ffff
00000000`74a70010  000000b8 00000000 00000040 00000000
00000000`74a70020  00000000 00000000 00000000 00000000
00000000`74a70030  00000000 00000000 00000000 000000f0
00000000`74a70040  0eba1f0e cd09b400 4c01b821 685421cd
00000000`74a70050  70207369 72676f72 63206d61 6f6e6e61
00000000`74a70060  65622074 6e757220 206e6920 20534f44
00000000`74a70070  65646f6d 0a0d0d2e 00000024 00000000

0:000> dps 76fdcb60 76fdcb6b 显示和解析76fdcb60 到76fdcb6b范围内的指针表
00000000`76fdcb60  c338c483`4800ebcc
00000000`76fdcb68  90909090`90909090

0:000> .formats 516adcf  实现数据进制转换
Evaluate expression:
  Hex:     00000000`0516adcf
  Decimal: 85372367
  Octal:   0000000000000505526717
  Binary:  00000000 00000000 00000000 00000000 00000101 00010110 10101101 11001111
  Chars:   ........
  Time:    Fri Sep 15 10:32:47 1972
  Float:   low 7.08489e-036 high 0
  Double:  4.21796e-316

使用内核调试器的4中调试方法 
      
?双机调试 （通过连接双主机进行调试）
    这种方式使用道具多，损耗大，恢复慢，但调试真实，执行命令完整。
?本地内核调试
    损耗小，但内核执行命令少
?分析崩溃转储
    只是分析系统崩溃时系统机制转存当前内存的信息，系统分析常用的技能
?虚拟机调试
    在物理机上安装虚拟机，以实现双机调试功能，解决了双机调试道具多，损耗大，恢复慢的问题。虚拟机调试现在已经成为最长用的调试方式，所以一下将详细介绍在虚拟机调试

调试命令

CTRL+C        取消调试器命令
以下三个命令结合起来 实现恢复目标系统正常，并退出调试
bc *
g
CTRL+B  ENTER

lm n            LoadModule 列举已加载模指令 n为列举数量 如果单纯的lm 则列举全                                         部已加载的模块
!process 0 0      !process Process Flag    显示指定进程的详细 Flag为5位大小的值，0显示最少，31最多  Process 可以是基址
.process address   切换到指定地址所属的进程为当前进程
!peb            扩展命令
例如：依次输入以下命令行
0:000> lm n
start             end                 module name
00000000`00400000 00000000`00417000   image00000000_00400000 image00000000`00400000
00000000`74a60000 00000000`74a68000   wow64cpu wow64cpu.dll
00000000`74a70000 00000000`74acc000   wow64win wow64win.dll
00000000`74ad0000 00000000`74b0f000   wow64    wow64.dll   
00000000`76f30000 00000000`770d9000   ntdll    ntdll.dll   
00000000`77110000 00000000`77290000   ntdll32  ntdll32.dll 
因为配置符号表，上述几个暂时无法实例，请见谅！
           敬请期待下一期精灵（^_^）/淘气鬼 成长笔记讲解，谢谢！！