10 搭建逆向和开发的运行环境 - 上

Lijunlin7611

各位同学，大家好，我是 逍遥

首先，祝大家  
中秋快乐！花好月圆人团圆！
多吃点月饼……

本次教程，为我个人这些年的所学所得，全部以教程和互动形式，慢慢的分享出来。
不想收取任何人的学习费用什么的，只为技术分享传承，不用于任何商业目的。
但求所学之人，贵在心性，希望学到东西只用于正途。勿要用在歧途。
本人仅仅只是讲授知识，知识不分好坏，但人心分，用在不同的地方，则会造成不同的结果。
希望大家好好的克制己心，将所学，造福大家，而不是危害大家，否则出了问题，本人概不负责。
本次分享，只愿将知识，留与后来人学习和深入，授之以渔。
内容全都讲干货，重在原理和方法理解，相对来说，会比较系统化，尽可能的完整吧。

最后，本人知识量有限，英文还特别不好，所以很多讲错的地方，发音不标准的地方，请大家见谅。能够修正的，我会尽量去修正它。
谢谢大家！


补充：
做好的系统镜像，可以自己补上自己喜欢的工具或者是常见的工具
优化系统服务等于是在系统注册表中操作
ImageX工具重新打包系统镜像，能够重新压缩镜像，减少镜像体积


本课的主要内容：

1、VS2008 VS2015的安装、SDK的安装、WDK的安装(驱动环境搭建)
2、虚拟机驱动调试环境的搭建
3、Windbg、IDA、OD等逆向工具的基本配置
4、Sql Server 环境搭建

$(SolutionDir)Bin\x86\$(Configuration)\
$(SolutionDir)Tmp\x86\$(ProjectName)\$(Configuration)\
$(SolutionDir)Bin\x64\$(Configuration)\
$(SolutionDir)Tmp\x64\$(ProjectName)\$(Configuration)\


_NT_SOURCE_PATH
L:\Code

_NT_SYMBOL_PATH
SRV*G:\MySymbols*http://msdl.microsoft.com/download/symbols


双机调试

Xp
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional Debug" /noexecute=optin /fastdetect /debug /debugport=com1 /baudrate=115200

"C:\Program Files (x86)\Windows Kits\10\Debuggers\x86\windbg.exe" -b -k com:pipe,port=\\.\pipe\WinXpX86,baud=115200,resets=0,reconnect
"C:\Program Files (x86)\Windows Kits\10\Debuggers\x64\windbg.exe" -b -k com:pipe,port=\\.\pipe\WinXpX86,baud=115200,resets=0,reconnect


bcdedit /copy {current} /d DebugEntry
bcdedit /displayorder {current} {21ca283a-d6ad-11e9-bdb2-f7593229e78e}
bcdedit /debug {21ca283a-d6ad-11e9-bdb2-f7593229e78e} ON
bcdedit /dbgsettings serial baudrate:115200 debugport:1

bcdedit /set {current} bootmenupolicy Legacy
bcdedit /set {ee1287e4-d6b9-11e9-ab13-00155dad7b17} description "Windows 10 DebugEntry"
bcdedit /set {ee1287e4-d6b9-11e9-ab13-00155dad7b17} Testsigning Yes

设置串口

VMWare、VirtualBox虚拟机串口设置

"C:\Program Files (x86)\Windows Kits\10\Debuggers\x64\windbg.exe" -b -k com:pipe,port=\\.\pipe\Win7EnX64,baud=115200,resets=0,reconnect
"C:\Program Files (x86)\Windows Kits\10\Debuggers\x64\windbg.exe" -b -k com:pipe,port=\\.\pipe\Win10EnX64,baud=115200,resets=0,reconnect


右键项目名-属性-WPP Tracing--->【Run Wpp Tracing】选择 <否> 即可。
需要注意的是编译平台需要正确选择，如果针对x86平台做了设置，在64位平台是不起作用的

蓝屏问题
<KernelBufferOverflowLib>$(DDK_LIB_PATH)\BufferOverflowK.lib</KernelBufferOverflowLib>


DebugView 不能显示输出信息
1. 打开注册表：（在Run中输入regedit）；
2. 在HKLM\SYSTEM\CuurentControlSet\Control\Session Manager下新建一个名称为Debug Print Filter的key；
3. 在Debug Print Filter下新建一个项：Default,值为0xF.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Debug Print Filter]
"DEFAULT"=dword:0000000f

教程为防和谐，已经加密，解压密码为随机生成值：OUI4OEQzNkZGRUJD

百度网盘链接：
教程链接: https://pan.baidu.com/s/1orZWraL3tnoIRx3_gzeu3g 提取码: eeba
相关工具链接: https://pan.baidu.com/s/1wXozbhT-rLZbG0H1YqP3Lw 提取码: gknb

B站视频已经上传，方便大家学习。
https://www.bilibili.com/video/av67655722

这个 VS 2015 文件太大，不能上传得，这里提供一个原版的下载地址，避免大家到处找，还下载出错得。
文件名 cn_visual_studio_enterprise_2015_with_update_3_x86_x64_dvd_8923298.iso
SHA1   B5109C53CB1251F4C85DE7AC8F79B1C3A679FF42
文件大小 7.25GB
下载链接 cn_visual_studio_enterprise_2015_with_update_3_x86_x64_dvd_8923298.iso (7.25 GB)

Lijunlin7611

抱歉，大家！由于昨天晚上时间比较晚了，人有点累了，没有实际注意到自己讲错了，所以对以下内容进行修正。


原始内容：

双机调试
Xp
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional Debug" /noexecute=optin /fastdetect /debug /debugport=com1 /baudrate=115200
"C:\Program Files (x86)\Windows Kits\10\Debuggers\x64\windbg.exe" -b -k com:pipe,port=\\.\pipe\WinXpX86,baud=115200,resets=0,reconnect


修正后的内容：

双机调试
Xp
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional Debug" /noexecute=optin /fastdetect /debug /debugport=com1 /baudrate=115200
"C:\Program Files (x86)\Windows Kits\10\Debuggers\x64\windbg.exe" -b -k com:pipe,port=\\.\pipe\WinXpX86,baud=115200,resets=0,reconnect
"C:\Program Files (x86)\Windows Kits\10\Debuggers\x86\windbg.exe" -b -k com:pipe,port=\\.\pipe\WinXpX86,baud=115200,resets=0,reconnect


修正原因：
早上起来，在实际的测试中发现，这里使用32位和64位的Windbg均可以调试Windows Xp 的32位系统。所以才立即对此部分内容进行修正，避免影响到大家的学习，敬请大家原谅。

coolsnake

太感谢了

冰雪冬樱250

感谢楼主分享

cj13888

感谢楼主无私奉献

kevin0830

感恩大佬无私分享.

chen4321

多谢分享

jsgyhy

谢谢分享

残鹤

感谢大佬的无私奉献！

et666

楼主辛苦了