现在的位置: 首页 WinDbg >正文

调教Windbg:移植预览版数据模型拓展

Windbg最新的预览版(DbgX)提供了新的两个数据模型:Code与FileSystem。顾名思义,分别用于反汇编以及文件系统。

用这些API我们可以做到更为方便的日志记录与(半)自动化,或是修改一个更为好用的mona。可惜的是Windbg Preview是个应用商店APP,只能在win10运行(而且虚拟机里面用并不流畅)。

移植到win7还是非常必要的,毕竟没有各种乱七八糟的防护打乱视线,结合ida对照要清晰很多(例如CFG这类)。


无论是windbg或是DbgX都只是个界面,实际的引擎为dbgcore、dbgeng、dbghelp、dbgmodel四个dll以及一系列拓展。

我们可以从应用商店下载最新的windbg预览版,安装后打开所在目录,在x86或amd64目录中即可找到引擎的核心部分。

1.png

直接用目录中文件替换windbg自带的引擎即可:

2.png

(如果需要在win7上运行的话,需要额外复制一个%systemroot%\System32\CompatTel\Api-ms-win-downlevel-kernel32-l1-1-0.dll文件)


DbgX是个WPF程序,微软不(屑)做混淆,基本和源码没有太大区别。逆一下大致的调用方式,之后可以据此写一些更好用的壳子或是(伪)自动化工具之类。

最后,当前时间的最新预览版(1.0.1902.7001)存在无法正常运行的Bug……解决方式是将本体全部从WindowsApps目录中复制出来,之后去x86或amd64目录中找到dbghelp.dll,并复制到DbgX.Shell.exe所在目录。

(好好的WPF非编译成UWP,巨硬你是要疯嘛……)