PDA

View Full Version : اتصال WinDbg به WMware



r00tkit
شنبه 06 آذر 1389, 18:49 عصر
سلام

ویندوزم رو updateکردم دیگه سیمبولم کار نمی کنه

بعد تصمیم گرفتم (سفارش شد) با VMware کار کنم
طبق این لینک (http://kannan.jumbledthoughts.com/index.php/howto-setup-a-windbg-connection-to-vmware-workstation-7-target/) مراحل رو رفتم ولی وقتی می خوام Connect بشم تو waiting to reconnect گیر می کنه و دیگه چیزی نمی یاد

ویندوزی که تو vm نصب کردم xp sp2 و kernel debugging رو هم on کردم ولی توی Xp سیمبول رو نصب نکردم . به هر حال بدون سیمبول باید Connnect بشه دیگه؟

مشکل کجاست؟

MA -> ان چی بود که سرعت رو افزایش می داد ؟

بعد تحریر: MA این نبود http://virtualkd.sysprogs.org/ ؟

بعد بعد تحریر: با virtualKD هم بازم تو همون Waiting to reconnect... می مونه

دارم سیمبول های XP sp2 رو می گیرم !! شاید از این باشه

r00tkit
یک شنبه 07 آذر 1389, 09:07 صبح
مشکل حل شد !

mahmood0197
سه شنبه 09 اسفند 1390, 14:47 عصر
من میخوام یک درایور به سازم که یک فایل رو کپی کنه میشه راهنماییم کنید؟

r00tkit
سه شنبه 09 اسفند 1390, 15:06 عصر
کپی کردن فایل توی کرنل هیچ فرقی با یوزر نداره
فقط می خوای از توابع مورد نظر استفاده کنی
اگه نمی تومی این کار رو بکنی کلا کرنل رو بی خیال شو
توابع مورد نیاز :
ZwOpenFile
ZwReadFile
ZwWriteFile

mahmood0197
سه شنبه 09 اسفند 1390, 15:15 عصر
واقعا ممنونم . می در حال طی کردن دوره ی کار آموزی هستم . تازه دیروز فهمیدم برنامه نویسی سطح کرنل وجود داره!!!! ویروس استاکس نت هم از همین توابع استفاده کرده

mahmood0197
سه شنبه 09 اسفند 1390, 15:16 عصر
میشه تفاوت های کد نویسی توی کرنل و یوزر مد رو برام یک کوچولو توضیح بدین؟؟؟

r00tkit
سه شنبه 09 اسفند 1390, 15:23 عصر
کرنل مود یکی از 4 حالت از cpu هستش که در ان به منابع سیستم دست رسی بیشتری داری
ویندوز از دو تا ring پشتیبانی می کنه که به رینگ 0 می گن کرنل و به رینگ 3 می گن یوزر مود
برنامه های معمولی توی رینگ 3 اجرا می شن و درایور ها توی ring0

وقتی داری درایرو می نویسی توی کرنل هستی و به API سابسیستم دست رسی نداری و باید با معماری خاص خودش کد بزنی

واقعا مطلب زیاده برای گفتن و من هم الان خستم
وقت شد شاید فردا به عنوان یه مقاله ای توی بخش کرنل همین سایت چیزی هایی نوشتم

برای شروع می تونی WDk رو مستنداتش رو بگیری و بخونی

این جا چند تا مثال هستش :
اول این رو بخون :
http://www.catch22.net/tuts/kernel101
سورس هم داره نگاشون کن

http://driverentry.com/resources/index.htm

http://www.codeproject.com/Articles/9504/Driver-Development-Part-1-Introduction-to-Drivers


این رو هم حتما بخون :
http://www.osronline.com/article.cfm?article=20

mahmood0197
سه شنبه 09 اسفند 1390, 15:30 عصر
بازم ممنونم مگه ZwOpenFile از توابع api نیست؟

r00tkit
سه شنبه 09 اسفند 1390, 15:33 عصر
از توابع کرنل هستش اگه از نظر جمله ای نگاه کنیم اره اینم api سطح کرنل هستش

mahmood0197
سه شنبه 09 اسفند 1390, 15:37 عصر
بازم ممنونم.
خیلی بهم کمک کردید.

__Genius__
شنبه 20 اسفند 1390, 22:03 عصر
صرفاً درایور ها توی ring0 اجرا نمیشن!
device driver ها دو دسته هستن ، سطح کاربر ، سطح هسته ، اصلاً دلیل تقسیم شدن DDK به WDK که الان دو قسمت هست و UMDF و KMDF هم همین هست .
میشه اینطور گفت که اغلب توی سطح هسته ایجاد / اجرا میشن .

Arcsinos
شنبه 02 اردیبهشت 1391, 16:28 عصر
با سلام من همین مشکل را دارم لطفا کمک کنید.

Arcsinos
یک شنبه 21 خرداد 1391, 21:48 عصر
با سلام و آرزوی پیشرفت روز افزون شما دوستان گرامی

دوستان ما توانستیم به تارکت متصل شویم ولی حالا با یک مشکل دیگر روبه رو هستیم :

* ERROR: Symbol file could not be found. Defaulted to export symbols for ntkrpamp.exe
وقتی می نویسم :
!process 0 0
باز هم میگوید که سیمبول هایش اشتباه است فقط این را میدانم که سیمبواهایم مشکلی ندارد چون تارگت ویندوز ایکس پی پرو است و سیمبولهایم نیز برای همان است. ممنون میشویم راهنمایی کنید . گرچه می دانیم در Kernel Debugging کمک و راهنمایی معنا ندارد ولی خواهش میکنم راهم باندازید.
خدا نگهدارتان باشد

Arcsinos
جمعه 26 خرداد 1391, 11:25 صبح
با سلام ئ تشکر از دوستانی که ما را یاری نکردند :)

مشکلمان حل شد . می خواهم بگویم مشکل از چه بود تا دیگران نیز استفاده کنند : Windbg نسخه ی سیستم عاملم را نمیشناخت . باید به اینترنت وصل میشدم تا یک سیمبل را دانلود می کرد .

srv*c:\symbols*http://msdl.microsoft.com/download/symbols

به این صورت ولی چون اینترنت ندارم وصل نمیشد . پس از اینکه به اینترنت متصل شدم مشکلم حل شد .

خدا نگهدارتان باشد