IDA + VMware 调试win7 x64

IDA+gdb配合VMware调试windows已经不是什么新鲜事了，但是之所以要发这篇帖子是因为我按照之前的帖子还有网上其他的教程设置调试环境，结果遇到了各种问题，所以仅仅是更新一下，各位轻拍。

环境：IDA6.9 + VMware12 + win10_host + win7x64_guest

一、更改VMX配置文件，开启VMware内的gdb stub

（1）在你的虚拟机对应的 *.vmx文件末尾加上如下三行并保存，：

debugStub.listen.guest64 = "TRUE"

debugStub.hideBreakpoints= "TRUE"

debugStub.listen.guest64.remote = "TRUE"

如果你的VM是32 bit的，将64换成32即可。

（2）然后启动虚拟机，如果虚拟机的日志文件中有如下字样，则说明gdb stub开启成功

二、配置IDA

（1）启动IDA64，选择Debugger -> Attach -> Remote GDB Debugger

（2）选择Debug options -> set specific option，将处理器改成与自己调试目标相匹配的处理器

（3）然后一路OK ，会出现如下图所示对话框，选择PID为0的进程attach，就会出现attach success的提示，此时会出现IDA的调试窗口。

（3）设置内存范围，选择Debugger -> Mannul Memory Regions，然后在空白处右键点击Insert，设置内存范围为0 - -2，如图

（4）设置完成后我们run (F9)，然后suspend，可以发现IDA已经断下，但是仅仅这样还不够我们还需要添加符号信息，这样才能更方便的调试

三、添加符号信息

IDA可以手动添加符号文件，但是我们需要知道内核加载模块的基址，才能将符号信息加载到指定的位置，比较通用的方法是通过idtr，获取idt表的地址，然后根据中断处理函数的地址信息搜索内存，然后特征码匹配MZ头，从而定位nt基址

（1）在gdb command 窗口内输入 r idtr,可以得到idt表的地址，我们取idt表的第一个函数地址作为搜索起始，配合IDA python脚本（脚本会给出链接），可以得到如下结果：

（2）然后从虚拟机中拷贝出nt文件，选择file -> load file -> PDB file，填入基址，等待一段时间后，符号信息即加载成功。

四、其他模块信息

nt符号信息加载成功后，我们可以通过PsLoadedModuleList继续得到其他模块基址信息，过程类似，脚本链接：https://github.com/Cr4sh/IDA-VMware-GDB/blob/master/IDA-VMware-GDB.py，如果时间太长的话，建议把符号自动加载部分去掉，根据自己需要手动加载也未尝不可，有了符号信息后就可以比较方便的调试VMM了。

///////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

最后贴上一个我之前发的问题的链接，还请诸位大神可以指点小菜一二https://bbs.pediy.com/thread-221825.htm   つ﹏⊂

jpg改rar