Хочу продебажить программу, исполняемую на виртуальной машине, с помощью remote debugging хоста. Как "идеалогически" установить breakpoint на её первой инструкции? когда я коннекчу дебаггер, он начинает дебажить ядро операционки на VM.
Если внутри программы я "натыкаюсь" на инструкцию типа sysenter, как перехватить её исполнение в ядре гостевой ОС?

| Сообщение посчитали полезным:

#1: проще всего юзать break&enter
#2: вроде нет ничего лучше, как явно поставить bp на ядерный код и проверять, что он сработал именно в ходе работы твоей программы.

| Сообщение посчитали полезным:

Какой отладчик используете?

-----
Gutta cavat lapidem. Feci, quod potui. Faciant meliora potentes

| Сообщение посчитали полезным:

Coderess пишет:
Какой отладчик используете?

Собираюсь WinDBG подконнектить к Vmware или Qemu. всё равно я не до конца понимаю, как поставить break на пользовательской программе? в дебаггере начинает исполняться ядро ОС

| Сообщение посчитали полезным:

Я когда драйвер писал, ставил бряк в нем допустим в DriverEntry() потом загружал его с помощью Syser -> Loader и ловил исключение с помощью Syser'а потом уже как обычно трасировал код, плюс можно же
брейкпоинты ставить на функции IoCreateDevice(), IoCreateSymbolicLink() и уже выезжаешь к нужному коду

-----
Gutta cavat lapidem. Feci, quod potui. Faciant meliora potentes

| Сообщение посчитали полезным: DenCoder

когда пишешь драйвер для дебага, можно сразу в DriverEntry 0xCC запихнуть, а можно лоадер юзать, не обязательно сисеровский.

Для юзермода говорю же, есть проверенный тысячелетиями break&enter в PeTools/LordPE/где его только нету

| Сообщение посчитали полезным:

Для WinDbg

Если запускаем под проводником

Получаем EPROCESS
!process 0 0 explorer.exe

ставим ядерный бряк
bp /p <полученный EPROCESS> nt!NtCreateThread; g

Бряк сработал, получаем адрес точки входа
dd /c 1 @esp + 0x18 L1; dt nt!_CONTEXT Eax @@masm($p)

Получаем информацию об указанном в параметрах хендле процесса
dd /c 1 @esp + 0x10 L1; !handle @@masm($p)
Убеждаемся, что получаем правильный Type: Process. Да - берем EPROCESS нового процесса из поля Object.

В меню Edit->Breakpoints находим ранее установленный бряк и отключаем его, ОК

Дальше ставим бряк на точку входа программы
bp /p <EPROCESS нового процесса> <адрес точки входа>; g

В WinDbg предусмотрен отлов исключения при создании процесса. Только у меня не работает почему-то, может это для Kernel-mode...

-----
IZ.RU

| Сообщение посчитали полезным: _ruzmaz_

vptrlx
когда пишешь драйвер для дебага, можно сразу в DriverEntry 0xCC запихнуть, а можно лоадер юзать, не обязательно сисеровский.

Да сразу не врубился, поэтому и расказал как...

-----
Gutta cavat lapidem. Feci, quod potui. Faciant meliora potentes

| Сообщение посчитали полезным:

Coderess и vptrlx, при чём здесь драйвер-то?

Mike247MOS пишет:
Как "идеалогически" установить breakpoint на её первой инструкции?

Mike247MOS пишет:
как поставить break на пользовательской программе?

Если задача тс поставлена четко. А вы о чём-то всё о своём... эх...

-----
IZ.RU

| Сообщение посчитали полезным: