一:背景 一直在用 WinDbg 調試用戶態程式,並沒有用它調試過 內核態,畢竟不是做驅動開發,也沒有在分析 dump 中需要接觸用內核態的需求,但未知的事情總覺得很酷,加上最近在看 《深入解析 Windows 操作系統》 一書,書中有不少案例需要深入到 內核態 ,所以這篇準備整理一下如何用 Win ...
一:背景
一直在用 WinDbg 調試用戶態程式,並沒有用它調試過 內核態,畢竟不是做驅動開發,也沒有在分析 dump 中需要接觸用內核態的需求,但未知的事情總覺得很酷,加上最近在看 《深入解析 Windows 操作系統》 一書,書中有不少案例需要深入到 內核態 ,所以這篇準備整理一下如何用 WinDbg 調試 C# 內核態吧。
操作環境:
- Windbg Preview
- 宿主機:Windows 10
- 虛擬機:Windows 10
二:搭建內核態調試
1. 基本原理
操作系統的引導程式 BootMgr 和 WinLoad 內置了調試模式,支持以 COM 介面互通,所以我們需要先添加一種可供調試的啟動項,供引導程式 BootMgr 啟動時彈框讓我們選擇。
2. 配置調試啟動項
大家可以在 https://msdn.itellyou.cn/ 下載一個完整版的 Window10 ISO 包,這裡就不細說了,啟動虛擬機進入 Windows10 ,以管理員模式打開 CMD 視窗,執行如下 四條命令 來編輯 bcd (Boot Configuration Data)。
bcdedit /dbgsettings serial baudrate:115200 debugport:1
bcdedit /copy {current} /d WinDbg
bcdedit /displayorder {current} {ID}
bcdedit /debug {ID} ON
註意一下,這裡的 {ID} 是 CMD 上生成的 GUID,這是你的啟動項唯一鍵,別名是 WinDbg, 在我的界面上大概是這個樣子:
3. 配置 COM 介面
這裡有幾個步驟要註意了,大致如下:
1) 把印表機選項移除了,因為它占用了 COM1 介面。
2) 新增一個 串列埠。
3)在 使用命名管道 中填入 \\.\pipe\com_1, 同時勾選 輪詢時主動放棄CPU。
設置完之後點擊確定,完整截圖如下:
4. 配置 Windbg Preview
我們把 WinDbg 打開,選擇 Attach to kernel 選項,然後選擇 COM 模式,設置 Baud Rate = 115200 ,然後是 Port=\\.\pipe\com_1 ,配置完之後點擊 OK, 完整截圖如下:
如果一切正常的話,Windbg 應該是如下輸出,等待COM連接狀態。
Microsoft (R) Windows Debugger Version 10.0.25136.1001 AMD64
Copyright (c) Microsoft Corporation. All rights reserved.
Waiting for pipe \\.\pipe\com_1
Waiting to reconnect...
5. 啟動虛擬機
這些都配置完之後,我們重新啟動虛擬機,在 BootMgr 階段會出現兩個引導項,其中一個就是在 小項2 時配置的,我們選擇它就好了,完整截圖如下:
稍等片刻後 WinDbg 會顯示連接成功,在進入初始化時會 int 3 中斷, 如果你真的到了這一步,那恭喜你!!!
Microsoft (R) Windows Debugger Version 10.0.25136.1001 AMD64
Copyright (c) Microsoft Corporation. All rights reserved.
Waiting for pipe \\.\pipe\com_1
Waiting to reconnect...
Connected to Windows 10 10240 x64 target at (Thu Sep 1 23:23:35.235 2022 (UTC + 8:00)), ptr64 TRUE
Kernel Debugger connection established. (Initial Breakpoint requested)
************* Path validation summary **************
Response Time (ms) Location
Deferred srv*c:\mysymbols_fix*https://msdl.microsoft.com/download/symbols
Error D:\net5\ConsoleApp1\Debug
Deferred srv*c:\mysymbols*https://msdl.microsoft.com/download/symbols
Symbol search path is: srv*c:\mysymbols_fix*https://msdl.microsoft.com/download/symbols;D:\net5\ConsoleApp1\Debug;srv*c:\mysymbols*https://msdl.microsoft.com/download/symbols
Executable search path is:
Windows 10 Kernel Version 10240 MP (1 procs) Free x64
Edition build lab: 10240.17394.amd64fre.th1_st1.170427-1347
Machine Name:
Kernel base = 0xfffff802`a3c7b000 PsLoadedModuleList = 0xfffff802`a3fa0070
System Uptime: 0 days 0:00:00.092
nt!DebugService2+0x5:
fffff802`a3dcfca5 cc int 3
因為是初始化中斷,接下來在 WinDbg 命令面板中先用 g 執行,讓操作系統繼續跑下去,稍等片刻就會進入到 Windows 10 的操作界面。
6. netcore 測試
前段時間寫了一篇文章,聊到了 ReadFile 從用戶態切到內核態的過程,還畫了一張圖。
現在可以調試 內核態 那何不試試看呢??? 哈哈,說乾就乾,先上一段測試代碼。
static void Main(string[] args)
{
var i = 0;
File.WriteAllText(@"C:\1.txt", "hello world!");
while (true)
{
var str = File.ReadAllText(@"C:\1.txt");
Console.WriteLine($"{i++}, content={str.Length}");
Thread.Sleep(1000);
}
Console.ReadLine();
}
為了方便觀察用戶態棧,我在虛擬機中的 Windows10 系統上安裝一個 WinDbg10,目的就是攔截 ntdll!NtReadFile 函數時輸出 用戶態棧。
bp ntdll!NtReadFile "k 10;gc"
可以看到每次只要程式輸出一次,windbg10 都能成功攔截,接下來在宿主機的 WinDbg Preview 中先輸入 .reload 重新載入下符號,目的就是方便看到用戶態上的 ntdll.dll 函數名,但不一定好使,碰碰運氣吧,接下來輸入 nt!NtReadFile 觀察內核態棧。
bp nt!NtReadFile
從新老Windbg截圖中,可以清晰的看到,這個的 Child-SP 線程棧終於對接上了,也就驗證了圖上所說:ntdll!NtReadFile (用戶態網關) -> nt!KiSystemServiceCopyEnd(內核態調度中心) -> nt!NtReadFile (內核態處理函數)。
好了,本篇就先說這麼多,希望對大家有幫助,也是對自己的一個總結。
