如何在 VM 中跟踪/调试/操作 Windows 进程?

逆向工程 视窗 调试 虚拟机 追踪
2021-06-30 20:44:11

我正在尝试利用虚拟化进行一些深层次的 Windows 调试/跟踪。

考虑到如果 Windows 在虚拟机中运行,理论上我对它拥有全部权力——我可以更改它的内核/用户空间数据结构、跟踪它、修改它等等。不需要它的协同性

我最喜欢的虚拟化软件是 qemu,但如果我能做到的话,什么都可以。

但是,我需要一些软件支持来完成这项任务。我需要一些东西,什么可以与虚拟机交互,最理想的是,一些支持来跟踪它的内存内容,找到进程并跟踪它们在做什么。

任务是否存在任何东西?

1个回答

这称为虚拟机内省(VMI),虽然绝对可能,但需要您实现内部 OS 结构的解析以隔离各个进程、模块等,而不是依赖于内置的 OS 支持(例如 WinDbg 内核调试器使用的) )。

您可以查看如何通过 VMWare 的 GDB 协议使用 IDA 来完成的示例(免责声明:我写的帖子):

http://www.hexblog.com/?p=94

我不知道有任何开箱即用的活动项目支持它,但您可能可以从 Volatility 或MemProcFS 之类的东西开始

其它你可能感兴趣的问题
上一篇熵是什么意思以及如何使用它? 下一篇在没有 gui 的情况下运行 IDA python