【旧文章搬运】Windbg+Vmware驱动调试入门(三)---Windbg基本调试入门

原文发表于百度空间，2009-01-09
==========================================================================

这一节的内容是Windbg入门,用一些基本的命令告诉你如何使用Windbg~~
仅作入门,更详细的可以参考Raymond老师的《软件调试》的第30章---"WinDbg用法详解"和Windbg自带的帮助文件

我使用调试器的经验完全来自于Ring3的Ollydbg，所以我在初用Windbg时觉得如果Ollydbg的功能我在Windbg中都知道如何使用的话，那我基本可以叫做入门了，下面我就以这个想法来谈谈Windbg的入门~~
Windbg是基于命令控制的，刚开始觉得烦琐，其实用了之后才发现很强大~~~

1.基本调试控制
运行程序(Run): 快捷键:F5 命令:g
单步步入(Step In)： 快捷键:F8 命令:p
单步步过(Step Over): 快捷键:F10 
运行到光标所在行： 快捷键:F7
执行到返回：gu
执行到指定地址：g [Address]
重新运行调试程序: 快捷键:Ctrl+Shift+F5(这个对驱动一般用不到)

2.断点
断点之于调试当然是非常重要的
常用命令：
bp [Address]or[Symbol] 在指定地址下断
可以使用地址或符号，如
    bp 80561259(Windbg默认使用16进制)
    bp MyDriver!GetKernelPath
    bp MyDriver!GetKernelPath+0x12
bp [Address] /p eprocess 仅当当前进程为eprocess时才中断
这个很常用，比如你bp nt!NtTerminateProcess,但是只想在某一进程触发此断点时才断下来，那就加上这个参数吧，因为内核中的代码是各个进程共用的，所以此命令很实用
bp [Address] /t ethread 仅当当前线程为ethread时才中断，用法跟/p参数类似
bu [Address]or[Symbol] 下一个未解析的断点(就是说这个断点需要延迟解析)
这个也很常用，比如我们的驱动名为MyDriver.sys,那么在驱动加载之前下断bu MyDriver!DriverEntry，
然后加载这个驱动时就可以断在驱动入口，并且这个是不需要调试符号支持的
bl 列出所有断点,L=List
bc[id] 清除断点，c=Clear,id是bl查看时的断点编号
bd[id] 禁用断点，d=Disable,id即断点编号
be[id] 启用断点，e=Enable,id为断点编号

3.查看和修改数据
调试中不可避免的要查看和修改数据
查看内存：
db/dw/dd/dq [Address]       字节/字/双字/四字方式查看数据
da/du [Address]           ASCII字符串/Unicode字符串方式查看指定地址
其它常用的如查看结构
dt nt!_EPROCESS
dt nt!_EPROCESS 89330da0 (把0x89330da0作为对象指针)
修改内存：
eb/ew/ed/eq/ef/ep Address [Values] 
字节/字/双字/四字/浮点数/指针/
ea/eu/eza/ezu Address [Values] 
ASCII字符串/Unicode字符串/以NULL结尾的ASCII字符串/以NULL结尾的Unicode字符串
搜索内存：
s -[b/w/d/q/a/u] Range Target
搜索字节/字/双字/四字/ASCII字符串/Unicode字符串

4.寄存器
在用Windbg调试时可以Alt+4直接调出寄存器窗口，然后拖放到合适的位置就可以。
要修改呢就直接双击相应的项就可以了。
把命令的方式也说一下，比较简单：
r 显示所有寄存器的值
r eax 显示eax的值
r eax=1 修改eax的值为1

5.辅助命令
!process 显示当前进程信息
!process 0 0 显示当前所有进程(会有僵尸进程)
!process 1f4 显示pid为1f4的进程信息，后面也可以跟eprocess的值
!thread 显示当前线程信息
!thread 
!process 1f4 显示tid为768的线程信息，后面也可以跟ethread的值
栈相关:
k 显示调用栈
kb 显示ebp和前3个参数
kp 以函数调用形式显示栈

以上就是常用的命令了~~~

来个简单的实践过程，步骤如下：
1.编译好你的驱动，假设名为ShowSSDT.sys，并把驱动符号文件ShowSSDT.pdb发送到MySysSymbols文件夹下（之前设定的自己的调试符号文件夹）
2.启动虚拟机，选择调试方式进入系统
3.迅速打开“双机调试”，建立调试连接，详细过程第二节讲过了
4.等待虚拟机中系统启动完毕（不等也行，反正下断要在驱动加载之前就行了）
5.在Windbg中按下Ctrl+Break，输入bu ShowSSDT!DriverEntry，回车确认，然后输入g命令继续执行
6.把ShowSSDT.sys拖到虚拟机中，在虚拟机系统中启动InstDrv，加载此驱动
7.回到Windbg窗口，如果一切正常的话，你会看到已经中断在ShowSSDT.sys的入口代码处了
接下来，要单步还是要下断点、要继续执行什么的，就全由你来作主了~~
仅作入门，Windbg自带的帮助其实很全了，学习要靠自己哦，小童鞋加油~~