一.搭建双机调试环境
将 VirtualKD双击解压
将vminstall.exe在虚拟机中安装,重启
运行vmmon.exe,找到Windbg的路径
vminstall.exe在虚拟机中安装重启,选择启用调试程序并点击Run debugger,便会连接到虚拟机,同时会弹出Windbg
二.驱动样本调试
VirtualKD搭建起来双机调试环境之后用如下工具将驱动注册为服务
然后再在windbg中断到驱动入口函数处,去调试
1: kd> lm
找到我们要调试的sys
先要断到sxe ld 2处(sxe 一般后面接ld XXXX,可以用来在加载XX模块时下断点。g
然后run起驱动,会自动断到加载的地方)
kd> !dh -a 9b55c000(我们可以看到它的PE格式)
kd> bp 0x520+0x9b55c000
u去查看对应位置的代码
注:要停止run状态用左上方的break建值