есть длл. нужны отладочные символы.
использую иду получаю мап файл. прогой map2dbg.exe делаю пдб. результат - ошибка(((
.symopt+0x40 тоже не то(((
как загрузить свои символы в дебаггер? подскажите пжл
зы Kernel mode (связка windbg+vmware)

| Сообщение посчитали полезным:

Как вариант можно попробовать отладку ядра через ida + vmware

| Сообщение посчитали полезным:

Так все равно нужна отладочная инфа. если использовать аттач к виндбг. Я в принципе могу достать символы через таблицу экспорта импорта и скрипт. но это через сибирь в москву. они нужны постоянно.

| Сообщение посчитали полезным:

Ну что же, немного автоматизировал путь Сибирь-Москва. Хочу описать. мб кому нить пригодится.
итак- мы подключили windbg к vmware(думаю проблем не возникнет описано в манах очень хорошо).
Далее запускаем например кракми какой-нить. мы должны попасть в адресное пространство просесса.

kd> !process 0 0 crackme.exe
PROCESS 81cad020 SessionId: 0 Cid: 0660 Peb: 7ffd6000 ParentCid: 0554
DirBase: 0a540240 ObjectTable: e1737b40 HandleCount: 25.
Image: CRACKME.EXE

kd> .process /i 81cad020
You need to continue execution (press 'g' <enter>) for the context
to be switched. When the debugger breaks in again, you will be in
the new process context.

kd> g

далее нам нужна инфа о секциях

kd> !dh user32 -f
...
38B8 [ 4BA9] address [size] of Export Directory

cмотрим на структуру address [size] of Export Directory

kd> dd user32+38B8
77d338b8 00000000 41107eec 00000000 00005578
77d338c8 00000001 000002dc 000002dc 000038e0
77d338d8 00004450 00004fc0 0002f794 0003016e
77d338e8 000120a2 0005d07d 000460ed 0002a239
77d338f8 0002869c 000597cf 0001716c 0002c170
77d33908 00045c1f 0001674f 0000cdcb 0000b4b1
77d33918 0005c61a 0002f117 0005aa66 0005aa66
77d33928 0005aa3f 000268d7 00022ce3 0005799e

нас интересуют значения которые я выделил
000002dc - количество имен функций
000038e0 - адреса функций
00004450 - имена функций

далее запускаем скрипт (прописываем адреса есстессно и размер)


r? @$t0 = ((int *) (0x77d34450));//AddressOfNames +user32;
r? @$t1 = ((int *) (0x77d338e0));//AddressOfFunctions +user32;
unsigned long t3 = 02dc;// размер
.for (r @$t2 = 0; @$t2 < 2dc; r @$t2 = @$t2 + 1){.printf "%p\t",user32+(@@c++(@$t1[@$t2])) ; da user32+(@@c++(@$t0[@$t2]));}

Наслаждаемся

77d5f794 77d35583 "ActivateKeyboardLayout"
77d6016e 77d3559a "AdjustWindowRect"
77d420a2 77d355ab "AdjustWindowRectEx"
77d8d07d 77d355be "AlignRects"
77d760ed 77d355c9 "AllowForegroundActivation"
77d5a239 77d355e3 "AllowSetForegroundWindow"
77d5869c 77d355fc "AnimateWindow"


1я колонка адреса
2я адреса имени
3е имя

Все. Спасибо за внимание. звиняйте если что не так

зы Прошу местных гуру помоч с автоматизацией чтобы все это делалось расширеными коммандами дебаггера.
ззы или подскажите что курить. а то не знаю с какого бока подойти(( интересует автоматизация написанного выше и вывод стека как в ольге.

| Сообщение посчитали полезным:

Я так и не уловил, чем не устраивает коннект и отладка из иды к серверному удалённому стабу виндбг. Если я правильно помню, она вполне это умеет.

| Сообщение посчитали полезным:

Как? я нашел только ту же загрузку pdb только извращенную. а мне нужно извлечь имена и адреса функций для дальнейшего использования

| Сообщение посчитали полезным:

как отлаживать в кернел моде есть в туторах к иде,
не знаете где? ищите у ильфака сайт только один, сложно заблудится в трех соснах

| Сообщение посчитали полезным:

У ильфака на сайте пдф лежит как подключать и подгружать пдб символы в gdb stub(просматривал пару дней назад)А как получать из экспорт директори нету.. я в принципе поэтому и не трогаю его.

| Сообщение посчитали полезным:

Еще один скриптик для вывода стека в виде еsp значение строка. Написал для упрощения поиска строк и значений в стеке.

r? $t1 = (&@$peb->ImageBaseAddress);
r $t0 = dwo(@$t1);
r $t2 = wo(@$t0+3c);
r $t1 = @$t2 + @$t0 + 28;
r $t2 = dwo(@$t1) + @$t0;
r $t1 = dwo(@esp);
r $t0 = (@esp);
.while (@$t2 != @$t1){ dda (@$t0) l1; r @$t0 = @$t0+4; r @$t1 = dwo(@$t0);}

может пригодится кому нить

| Сообщение посчитали полезным:

Мне кажется, что Вам пора заводить свой blog и там помещать результаты своих изысканий.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

hxxp://www.hex-rays.com/products/ida/support/tutorials/debugging.shtml

Ctrl-F -> Windbg

| Сообщение посчитали полезным:

reverser И? это читано давным давно. Имена функций длл (нестандартных) нету( точнее без бубна никак). Full stack со строками тоже ... получишь. А задача свести к минимуму пляску с бубном.

| Сообщение посчитали полезным:

както у вас все сложно..
dll отлаживать из кернель моде, да еще под вирутуалкой, да еще и какойто крекми? facepalm

ну если прям кровь износу надо отладить в кернель моде есть syser который проглатывает map файлы,
я пару раз в год дамплю разобраные драйвера в IDA и генерирую map файлы, и все нормально

| Сообщение посчитали полезным:

Такое впечатление, что автор данной темы создает свои топики скорее для того, чтобы показать какими сложными делами он заворачивает, нежели для того, чтобы и в самом деле в чем-то разобраться.
Вопросы какие-то туманые, запутаные, надуманые. Сценарии - сверхсложные...
Чесание левого уха правой рукой.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным: neprovad

reversecodeПочему вы решили что крякми? В Сисере трасер очень кривой. или у меня руки(

plutos Ув. плуто. таких как вы на всех форумах полно. Поэтому коменты типа - ф топку, гугль в помощь, ты нубась. оставьте пжл при себе. Ваше мнение меня не интересует. Я занимаюсь тем чем хочу и так как мне удобно. И спрашиваю у ЗНАЮЩИХ людей, а не у форумных тролей.

| Сообщение посчитали полезным:

Hаткнулся на довольно интересный (на мой взгляд) материал:

Virtual Machine KD Extensions: http://www.nynaeve.net/?page_id=168
Кernel debugging in VMware virtual machines: http://www.nynaeve.net/?p=174

и вспомнил товарища тирaнозавра, который вроде бы этим вопросом интересуется.
Поэтому решил протянуть руку дружбы тов. тирaнозавру и поместить в его теме.
(он не возражает?)

Надеюсь пригодится еще кому-нибудь.

По ссылкам не только серия статей, подробно обьясняющих суть дела но и source code, что всегда ценно.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным: tiranosaur