總在用戶態調試 C# 程式,終還是搭了一個內核態環境

来源:https://www.cnblogs.com/huangxincheng/archive/2022/09/03/16652322.html
-Advertisement-
Play Games

一:背景 一直在用 WinDbg 調試用戶態程式,並沒有用它調試過 內核態,畢竟不是做驅動開發,也沒有在分析 dump 中需要接觸用內核態的需求,但未知的事情總覺得很酷,加上最近在看 《深入解析 Windows 操作系統》 一書,書中有不少案例需要深入到 內核態 ,所以這篇準備整理一下如何用 Win ...


一:背景

一直在用 WinDbg 調試用戶態程式,並沒有用它調試過 內核態,畢竟不是做驅動開發,也沒有在分析 dump 中需要接觸用內核態的需求,但未知的事情總覺得很酷,加上最近在看 《深入解析 Windows 操作系統》 一書,書中有不少案例需要深入到 內核態 ,所以這篇準備整理一下如何用 WinDbg 調試 C# 內核態吧。

操作環境:

  • Windbg Preview
  • 宿主機:Windows 10
  • 虛擬機:Windows 10

二:搭建內核態調試

1. 基本原理

操作系統的引導程式 BootMgrWinLoad 內置了調試模式,支持以 COM 介面互通,所以我們需要先添加一種可供調試的啟動項,供引導程式 BootMgr 啟動時彈框讓我們選擇。

2. 配置調試啟動項

大家可以在 https://msdn.itellyou.cn/ 下載一個完整版的 Window10 ISO 包,這裡就不細說了,啟動虛擬機進入 Windows10 ,以管理員模式打開 CMD 視窗,執行如下 四條命令 來編輯 bcd (Boot Configuration Data)


bcdedit /dbgsettings serial baudrate:115200 debugport:1
bcdedit /copy {current} /d WinDbg
bcdedit /displayorder {current} {ID} 
bcdedit /debug {ID} ON

註意一下,這裡的 {ID} 是 CMD 上生成的 GUID,這是你的啟動項唯一鍵,別名是 WinDbg, 在我的界面上大概是這個樣子:

3. 配置 COM 介面

這裡有幾個步驟要註意了,大致如下:

1) 把印表機選項移除了,因為它占用了 COM1 介面。

2) 新增一個 串列埠

3)在 使用命名管道 中填入 \\.\pipe\com_1, 同時勾選 輪詢時主動放棄CPU

設置完之後點擊確定,完整截圖如下:

4. 配置 Windbg Preview

我們把 WinDbg 打開,選擇 Attach to kernel 選項,然後選擇 COM 模式,設置 Baud Rate = 115200 ,然後是 Port=\\.\pipe\com_1 ,配置完之後點擊 OK, 完整截圖如下:

如果一切正常的話,Windbg 應該是如下輸出,等待COM連接狀態。


Microsoft (R) Windows Debugger Version 10.0.25136.1001 AMD64
Copyright (c) Microsoft Corporation. All rights reserved.

Waiting for pipe \\.\pipe\com_1
Waiting to reconnect...


5. 啟動虛擬機

這些都配置完之後,我們重新啟動虛擬機,在 BootMgr 階段會出現兩個引導項,其中一個就是在 小項2 時配置的,我們選擇它就好了,完整截圖如下:

稍等片刻後 WinDbg 會顯示連接成功,在進入初始化時會 int 3 中斷, 如果你真的到了這一步,那恭喜你!!!



Microsoft (R) Windows Debugger Version 10.0.25136.1001 AMD64
Copyright (c) Microsoft Corporation. All rights reserved.

Waiting for pipe \\.\pipe\com_1
Waiting to reconnect...
Connected to Windows 10 10240 x64 target at (Thu Sep  1 23:23:35.235 2022 (UTC + 8:00)), ptr64 TRUE
Kernel Debugger connection established.  (Initial Breakpoint requested)

************* Path validation summary **************
Response                         Time (ms)     Location
Deferred                                       srv*c:\mysymbols_fix*https://msdl.microsoft.com/download/symbols
Error                                          D:\net5\ConsoleApp1\Debug
Deferred                                       srv*c:\mysymbols*https://msdl.microsoft.com/download/symbols
Symbol search path is: srv*c:\mysymbols_fix*https://msdl.microsoft.com/download/symbols;D:\net5\ConsoleApp1\Debug;srv*c:\mysymbols*https://msdl.microsoft.com/download/symbols
Executable search path is: 
Windows 10 Kernel Version 10240 MP (1 procs) Free x64
Edition build lab: 10240.17394.amd64fre.th1_st1.170427-1347
Machine Name:
Kernel base = 0xfffff802`a3c7b000 PsLoadedModuleList = 0xfffff802`a3fa0070
System Uptime: 0 days 0:00:00.092
nt!DebugService2+0x5:
fffff802`a3dcfca5 cc              int     3

因為是初始化中斷,接下來在 WinDbg 命令面板中先用 g 執行,讓操作系統繼續跑下去,稍等片刻就會進入到 Windows 10 的操作界面。

6. netcore 測試

前段時間寫了一篇文章,聊到了 ReadFile 從用戶態切到內核態的過程,還畫了一張圖。

現在可以調試 內核態 那何不試試看呢??? 哈哈,說乾就乾,先上一段測試代碼。


        static void Main(string[] args)
        {
            var i = 0;

            File.WriteAllText(@"C:\1.txt", "hello world!");
            while (true)
            {
                var str = File.ReadAllText(@"C:\1.txt");
                Console.WriteLine($"{i++}, content={str.Length}");
                Thread.Sleep(1000);
            }

            Console.ReadLine();
        }

為了方便觀察用戶態棧,我在虛擬機中的 Windows10 系統上安裝一個 WinDbg10,目的就是攔截 ntdll!NtReadFile 函數時輸出 用戶態棧

bp ntdll!NtReadFile "k 10;gc"

可以看到每次只要程式輸出一次,windbg10 都能成功攔截,接下來在宿主機的 WinDbg Preview 中先輸入 .reload 重新載入下符號,目的就是方便看到用戶態上的 ntdll.dll 函數名,但不一定好使,碰碰運氣吧,接下來輸入 nt!NtReadFile 觀察內核態棧。

bp nt!NtReadFile

從新老Windbg截圖中,可以清晰的看到,這個的 Child-SP 線程棧終於對接上了,也就驗證了圖上所說:ntdll!NtReadFile (用戶態網關) -> nt!KiSystemServiceCopyEnd(內核態調度中心) -> nt!NtReadFile (內核態處理函數)

好了,本篇就先說這麼多,希望對大家有幫助,也是對自己的一個總結。


您的分享是我們最大的動力!

-Advertisement-
Play Games
更多相關文章
  • 鑒於有些小伙伴在尋找博客園遷移到個人博客的方案,本人針對博客園實現了一個自動備份腳本,可以快速將博客園中自己的文章備份成Markdown格式的獨立文件,備份後的md文件可以直接放入到hexo博客中,快速生成自己的站點,而不需要自己逐篇文章遷移,提高了備份文章的效率。 ...
  • 阿裡druid-spring-boot-starter 配置,個人整理(之後可能會忘記)。。 現版本其實有大量的預設值都已經配置好了,可以自己去看看源碼 ...
  • 1.準備工作(django連接資料庫) 1.本機電腦下載好mysql資料庫 2.打開django,修改setting.py中的DATABASES配置項 DATABASES = { 'default': { 'ENGINE': 'django.db.backends.mysql', 'NAME': ' ...
  • C++ 課堂筆記(一) 說明:此筆記是學習於B站黑馬程式員的C++視頻所作的,感謝黑馬程式員的教學;如有什麼不足之處,望各位賜教。僅供學習。 第一個代碼:書寫hello world #include<iostream> using namespace std; int main() { cout < ...
  • x64dbg 是一款開源的應用層反彙編調試器,旨在對沒有源代碼的可執行文件進行惡意軟體分析和逆向工程,同時 x64dbg 還允許用戶開發插件來擴展功能,插件開發環境的配置非常簡單,如下將簡單介紹x64dbg是如何配置開發環境以及如何開發插件的。 ...
  • 摘要 這就是一個記錄自己進行WinUI項目實踐的博客,項目開源地址如下,覺得有幫助的可以去看看,因為項目都開源了,所以保姆級的講解肯定不如直接看代碼來的實在了。 電子腦殼項目地址 為什麼叫新 因為之前發過一篇講開發上位機應用的博客,所以作為區分就把這篇成為新的一篇了,微軟最新的windows應用開發 ...
  • RPC 遠程過程調用(遠程函數調用) GRPC google開發,跨語言RPC,用來解決微服務通信性能和擴展問題 跨語言:通過Protobuffer文件(通用文件)解決跨語言問題的 高併發:GRPC基於http/2協議,多路復用機制(服務端一個線程可以連接任意數量客戶端請求) webapi缺陷 we ...
  • 前言 在日常工作中,偶爾需要調查一些詭異的問題,而業務代碼經過長時間的演化,很可能已經變得錯綜複雜,流程、分支眾多,如果能在關鍵方法的日誌里添加上調用者的信息,將對定位問題非常有幫助。 介紹 StackTrace, 位於 System.Diagnostics 命名空間下,名字很直觀,它代表一個方法調 ...
一周排行
    -Advertisement-
    Play Games
  • 移動開發(一):使用.NET MAUI開發第一個安卓APP 對於工作多年的C#程式員來說,近來想嘗試開發一款安卓APP,考慮了很久最終選擇使用.NET MAUI這個微軟官方的框架來嘗試體驗開發安卓APP,畢竟是使用Visual Studio開發工具,使用起來也比較的順手,結合微軟官方的教程進行了安卓 ...
  • 前言 QuestPDF 是一個開源 .NET 庫,用於生成 PDF 文檔。使用了C# Fluent API方式可簡化開發、減少錯誤並提高工作效率。利用它可以輕鬆生成 PDF 報告、發票、導出文件等。 項目介紹 QuestPDF 是一個革命性的開源 .NET 庫,它徹底改變了我們生成 PDF 文檔的方 ...
  • 項目地址 項目後端地址: https://github.com/ZyPLJ/ZYTteeHole 項目前端頁面地址: ZyPLJ/TreeHoleVue (github.com) https://github.com/ZyPLJ/TreeHoleVue 目前項目測試訪問地址: http://tree ...
  • 話不多說,直接開乾 一.下載 1.官方鏈接下載: https://www.microsoft.com/zh-cn/sql-server/sql-server-downloads 2.在下載目錄中找到下麵這個小的安裝包 SQL2022-SSEI-Dev.exe,運行開始下載SQL server; 二. ...
  • 前言 隨著物聯網(IoT)技術的迅猛發展,MQTT(消息隊列遙測傳輸)協議憑藉其輕量級和高效性,已成為眾多物聯網應用的首選通信標準。 MQTTnet 作為一個高性能的 .NET 開源庫,為 .NET 平臺上的 MQTT 客戶端與伺服器開發提供了強大的支持。 本文將全面介紹 MQTTnet 的核心功能 ...
  • Serilog支持多種接收器用於日誌存儲,增強器用於添加屬性,LogContext管理動態屬性,支持多種輸出格式包括純文本、JSON及ExpressionTemplate。還提供了自定義格式化選項,適用於不同需求。 ...
  • 目錄簡介獲取 HTML 文檔解析 HTML 文檔測試參考文章 簡介 動態內容網站使用 JavaScript 腳本動態檢索和渲染數據,爬取信息時需要模擬瀏覽器行為,否則獲取到的源碼基本是空的。 本文使用的爬取步驟如下: 使用 Selenium 獲取渲染後的 HTML 文檔 使用 HtmlAgility ...
  • 1.前言 什麼是熱更新 游戲或者軟體更新時,無需重新下載客戶端進行安裝,而是在應用程式啟動的情況下,在內部進行資源或者代碼更新 Unity目前常用熱更新解決方案 HybridCLR,Xlua,ILRuntime等 Unity目前常用資源管理解決方案 AssetBundles,Addressable, ...
  • 本文章主要是在C# ASP.NET Core Web API框架實現向手機發送驗證碼簡訊功能。這裡我選擇是一個互億無線簡訊驗證碼平臺,其實像阿裡雲,騰訊雲上面也可以。 首先我們先去 互億無線 https://www.ihuyi.com/api/sms.html 去註冊一個賬號 註冊完成賬號後,它會送 ...
  • 通過以下方式可以高效,並保證數據同步的可靠性 1.API設計 使用RESTful設計,確保API端點明確,並使用適當的HTTP方法(如POST用於創建,PUT用於更新)。 設計清晰的請求和響應模型,以確保客戶端能夠理解預期格式。 2.數據驗證 在伺服器端進行嚴格的數據驗證,確保接收到的數據符合預期格 ...