11 搭建逆向和开发的运行环境 - 下

各位同学,大家好,我是 逍遥

本次教程,为我个人这些年的所学所得,全部以教程和互动形式,慢慢的分享出来。
不想收取任何人的学习费用什么的,只为技术分享传承,不用于任何商业目的。
但求所学之人,贵在心性,希望学到东西只用于正途。勿要用在歧途。
本人仅仅只是讲授知识,知识不分好坏,但人心分,用在不同的地方,则会造成不同的结果。
希望大家好好的克制己心,将所学,造福大家,而不是危害大家,否则出了问题,本人概不负责。
本次分享,只愿将知识,留与后来人学习和深入,授之以渔。
内容全都讲干货,重在原理和方法理解,相对来说,会比较系统化,尽可能的完整吧。

最后,本人知识量有限,英文还特别不好,所以很多讲错的地方,发音不标准的地方,请大家见谅。能够修正的,我会尽量去修正它。
谢谢大家!

补充:
做好的系统镜像,可以自己补上自己喜欢的工具或者是常见的工具
优化系统服务等于是在系统注册表中操作
ImageX工具重新打包系统镜像,能够重新压缩镜像,减少镜像体积

本课的主要内容:

1、VS2008 VS2015的安装、SDK的安装、WDK的安装(驱动环境搭建)
2、虚拟机驱动调试环境的搭建
3、Windbg、IDA、OD、X64Dbg等逆向工具的基本配置
4、Sql Server 环境搭建(简介)

$(SolutionDir)Bin\x86\$(Configuration)\
$(SolutionDir)Tmp\x86\$(ProjectName)\$(Configuration)\
$(SolutionDir)Bin\x64\$(Configuration)\
$(SolutionDir)Tmp\x64\$(ProjectName)\$(Configuration)\

_NT_SOURCE_PATH
L:\Code

_NT_SYMBOL_PATH
SRV*G:\MySymbols*http://msdl.microsoft.com/download/symbols

双机调试

Xp
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional Debug" /noexecute=optin /fastdetect /debug /debugport=com1 /baudrate=115200

"C:\Program Files (x86)\Windows Kits\10\Debuggers\x64\windbg.exe" -b -k com:pipe,port=\\.\pipe\WinXpX86,baud=115200,resets=0,reconnect
"C:\Program Files (x86)\Windows Kits\10\Debuggers\x86\windbg.exe" -b -k com:pipe,port=\\.\pipe\WinXpX86,baud=115200,resets=0,reconnect

bcdedit /copy {current} /d DebugEntry
bcdedit /displayorder {current} {21ca283a-d6ad-11e9-bdb2-f7593229e78e}
bcdedit /debug {21ca283a-d6ad-11e9-bdb2-f7593229e78e} ON
bcdedit /dbgsettings serial baudrate:115200 debugport:1

bcdedit /set {current} bootmenupolicy Legacy
bcdedit /set {ee1287e4-d6b9-11e9-ab13-00155dad7b17} description "Windows 10 DebugEntry"
bcdedit /set {ee1287e4-d6b9-11e9-ab13-00155dad7b17} Testsigning Yes

设置串口

VMWare、VirtualBox虚拟机串口设置

"C:\Program Files (x86)\Windows Kits\10\Debuggers\x64\windbg.exe" -b -k com:pipe,port=\\.\pipe\Win7EnX64,baud=115200,resets=0,reconnect
"C:\Program Files (x86)\Windows Kits\10\Debuggers\x64\windbg.exe" -b -k com:pipe,port=\\.\pipe\Win10EnX64,baud=115200,resets=0,reconnect

右键项目名-属性-WPP Tracing--->【Run Wpp Tracing】选择 <否> 即可。
需要注意的是编译平台需要正确选择,如果针对x86平台做了设置,在64位平台是不起作用的

蓝屏问题
<KernelBufferOverflowLib>$(DDK_LIB_PATH)\BufferOverflowK.lib</KernelBufferOverflowLib>

DebugView 不能显示输出信息
1. 打开注册表:(在Run中输入regedit);
2. 在HKLM\SYSTEM\CuurentControlSet\Control\Session Manager下新建一个名称为Debug Print Filter的key;
3. 在Debug Print Filter下新建一个项:Default,值为0xF.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Debug Print Filter]
"DEFAULT"=dword:0000000f

教程为防和谐,已经加密,解压密码为随机生成值:QTUzOTBCRDYxRUJF

百度网盘链接:
链接: https://pan.baidu.com/s/1pZq4k_8Alykj1vZdPolJiA 提取码: suve

B站视频已经上传,正在审核中,审核通过后,再补上链接,方便大家学习。

THE END
喜欢就支持以下吧
点赞0
分享
评论 抢沙发
  • 管埋员

    昵称

  • 取消
    昵称