اتصال WinDbg به WMware

[r00tkit]

سلام

ویندوزم رو updateکردم دیگه سیمبولم کار نمی کنه

بعد تصمیم گرفتم (سفارش شد) با VMware کار کنم
طبق این لینک مراحل رو رفتم ولی وقتی می خوام Connect بشم تو waiting to reconnect گیر می کنه و دیگه چیزی نمی یاد

ویندوزی که تو vm نصب کردم xp sp2 و kernel debugging رو هم on کردم ولی توی Xp سیمبول رو نصب نکردم . به هر حال بدون سیمبول باید Connnect بشه دیگه؟

مشکل کجاست؟

MA -> ان چی بود که سرعت رو افزایش می داد ؟

بعد تحریر: MA این نبود http://virtualkd.sysprogs.org/ ؟

بعد بعد تحریر: با virtualKD هم بازم تو همون Waiting to reconnect... می مونه

دارم سیمبول های XP sp2 رو می گیرم !! شاید از این باشه

[r00tkit]

مشکل حل شد !

[mahmood0197]

من میخوام یک درایور به سازم که یک فایل رو کپی کنه میشه راهنماییم کنید؟

[r00tkit]

کپی کردن فایل توی کرنل هیچ فرقی با یوزر نداره
فقط می خوای از توابع مورد نظر استفاده کنی
اگه نمی تومی این کار رو بکنی کلا کرنل رو بی خیال شو
توابع مورد نیاز :
ZwOpenFile
ZwReadFile
ZwWriteFile

[mahmood0197]

واقعا ممنونم . می در حال طی کردن دوره ی کار آموزی هستم . تازه دیروز فهمیدم برنامه نویسی سطح کرنل وجود داره!!!! ویروس استاکس نت هم از همین توابع استفاده کرده

[mahmood0197]

میشه تفاوت های کد نویسی توی کرنل و یوزر مد رو برام یک کوچولو توضیح بدین؟؟؟

[r00tkit]

کرنل مود یکی از 4 حالت از cpu هستش که در ان به منابع سیستم دست رسی بیشتری داری
ویندوز از دو تا ring پشتیبانی می کنه که به رینگ 0 می گن کرنل و به رینگ 3 می گن یوزر مود
برنامه های معمولی توی رینگ 3 اجرا می شن و درایور ها توی ring0

وقتی داری درایرو می نویسی توی کرنل هستی و به API سابسیستم دست رسی نداری و باید با معماری خاص خودش کد بزنی

واقعا مطلب زیاده برای گفتن و من هم الان خستم
وقت شد شاید فردا به عنوان یه مقاله ای توی بخش کرنل همین سایت چیزی هایی نوشتم

برای شروع می تونی WDk رو مستنداتش رو بگیری و بخونی

این جا چند تا مثال هستش :
اول این رو بخون :
http://www.catch22.net/tuts/kernel101
سورس هم داره نگاشون کن

http://driverentry.com/resources/index.htm

http://www.codeproject.com/Articles/...ion-to-Drivers


این رو هم حتما بخون :
http://www.osronline.com/article.cfm?article=20

[mahmood0197]

بازم ممنونم مگه ZwOpenFile از توابع api نیست؟

[r00tkit]

از توابع کرنل هستش اگه از نظر جمله ای نگاه کنیم اره اینم api سطح کرنل هستش

[mahmood0197]

بازم ممنونم.
خیلی بهم کمک کردید.

[__Genius__]

صرفاً درایور ها توی ring0 اجرا نمیشن!
device driver ها دو دسته هستن ، سطح کاربر ، سطح هسته ، اصلاً دلیل تقسیم شدن DDK به WDK که الان دو قسمت هست و UMDF و KMDF هم همین هست .
میشه اینطور گفت که اغلب توی سطح هسته ایجاد / اجرا میشن .

[Arcsinos]

با سلام من همین مشکل را دارم لطفا کمک کنید.

[Arcsinos]

با سلام و آرزوی پیشرفت روز افزون شما دوستان گرامی

دوستان ما توانستیم به تارکت متصل شویم ولی حالا با یک مشکل دیگر روبه رو هستیم :

* ERROR: Symbol file could not be found. Defaulted to export symbols for ntkrpamp.exe
وقتی می نویسم :
!process 0 0
باز هم میگوید که سیمبول هایش اشتباه است فقط این را میدانم که سیمبواهایم مشکلی ندارد چون تارگت ویندوز ایکس پی پرو است و سیمبولهایم نیز برای همان است. ممنون میشویم راهنمایی کنید . گرچه می دانیم در Kernel Debugging کمک و راهنمایی معنا ندارد ولی خواهش میکنم راهم باندازید.
خدا نگهدارتان باشد

[Arcsinos]

با سلام ئ تشکر از دوستانی که ما را یاری نکردند :)

مشکلمان حل شد . می خواهم بگویم مشکل از چه بود تا دیگران نیز استفاده کنند : Windbg نسخه ی سیستم عاملم را نمیشناخت . باید به اینترنت وصل میشدم تا یک سیمبل را دانلود می کرد .

srv*c:\symbols*http://msdl.microsoft.com/download/symbols

به این صورت ولی چون اینترنت ندارم وصل نمیشد . پس از اینکه به اینترنت متصل شدم مشکلم حل شد .

خدا نگهدارتان باشد