我正在使用IDA ProWinDbg作为调试器,以从用户模式代码逐步浏览WinAPI。除了汇编代码遇到syscall指令(输入ring-0代码)外,我无法执行所有操作:



有人可以显示它是否是可能进入内核代码?

PS。我正在从主机Windows系统的VM中运行IDA Pro。

评论

如果您有一对(physc / vm,vm / vm,physc / physc)在内核模式下的“实际系统调用”上设置断点,并且介入以破坏ntdll中的一个,则无法无缝地从usermode进入内核模式将执行转移到kmode的存根
我认为@blabb
可能是一个内核调试器
stackoverflow.com/questions/42776503/…有一些想法,实际上提到了IDA,还有blabb的回答:)
@igor是,内核调试器连接需要一对iiur op希望在单台计算机上完成它
哦,确实,它不能在同一盒子上工作。

#1 楼

为了进入syscall,您必须从内核模式调试器调试计算机。 https://www.hex-rays.com/products/ida/support/tutorials/debugging_windbg.pdf请参阅“使用VMWare调试内核”部分。
但是请注意,在内核模式调试器中,您将无法像在用户模式下那样调试单个进程。内核模式调试是关于调试系统中的所有进程。因此,您必须先附加到目标流程,然后才能执行任何操作,并且还需要学习如何设置断点,该断点仅在目标流程中触发。