Windows 7 커널 디버깅 모드 런타임. 디버거 작동 방식

저자:
Barinov S.S., 셰브첸코 O.G.
년도:
원천:
정보학 및 컴퓨터 기술 / 학생, 대학원생 및 젊은 과학자를 대상으로 한 VI 국제 과학 및 기술 컨퍼런스 자료 - 2010년 11월 23-25일, DonNTU 도네츠크. - 2010. - 448p.

주석

Microsoft Windows 운영 체제와 관련하여 사용자 모드와 커널 모드 디버깅에 대한 비교 분석이 제공되며 후자의 디버깅 구성에 따른 차이점과 문제점이 강조됩니다. 얻은 결과를 바탕으로 긴급 상황 및 대화형 디버깅 시 커널 모드 디버거를 구축하기 위한 기본 요구 사항이 공식화되었습니다. 요구 사항 준수를 위해 기존 솔루션에 대한 분석이 수행되었습니다. 특히 Microsoft Windows 디버거에 특별한 주의가 기울여졌습니다.

주요 부분

디버깅은 소프트웨어 오류의 원인을 식별하고 제거하는 프로세스입니다. 일부 프로젝트에서는 디버깅이 전체 개발 시간의 최대 50%를 차지합니다. 지속적으로 개선되는 특수 도구를 사용하면 디버깅을 크게 단순화할 수 있습니다. 이러한 주요 도구는 소프트웨어 실행을 제어하고 진행 상황을 모니터링하며 간섭할 수 있는 디버거입니다. 커널 디버깅 도구는 주로 드라이버 개발자가 사용합니다.

응용 소프트웨어 개발 도구는 프로그래머에게 광범위한 가능성을 제공합니다. 모든 통합 개발 환경에는 타사 유틸리티를 사용할 필요 없이 디버깅할 수 있는 기능이 포함되어 있습니다. 특히 시스템 소프트웨어 및 드라이버 개발에 관해 이야기하고 있다면 그 특성으로 인해 개발 프로세스가 매우 어렵고 거의 자동화되지 않습니다. 디버깅을 포함한 모든 개발 단계는 별개입니다. 각 작업을 수행하려면 본격적인 컴퓨터 시스템에서 프로그램 코드 작성, 디버깅 시스템에서 디버깅, 상황에 따라 테스트 등 특별한 조건이 필요합니다. 커널 모드 디버거 자체는 배우기가 더 어렵고 따라서 덜 친숙합니다.

일반적으로 커널 디버깅 도구가 부족하다고 말할 수 있습니다. 그러한 수단이 있음에도 불구하고 대안에 대해서는 이야기가 없는 경우가 많습니다. 예를 들어 Microsoft Windows 디버거의 진입 임계값은 매우 높습니다. 많은 프로그래머가 처음 만났을 때 부정적인 경험에 대해 이야기하지만 대부분의 기능은 아직 주장되지 않은 상태로 남아 있습니다.

가상 주소 공간의 구조에 따라 응용 프로그램이 임의의 메모리 위치에 데이터를 쓰게 하는 오류가 발생하는 경우 응용 프로그램은 자체 메모리만 손상시키고 다른 응용 프로그램 및 운영 체제의 작동에는 영향을 미치지 않습니다. . 커널 모드 프로그램 코드는 운영 체제의 중요한 데이터 구조를 손상시킬 수 있으며 이로 인해 필연적으로 일반적인 오류가 발생합니다. 비효율적으로 작성된 드라이버로 인해 전체 운영 체제가 심각하게 저하될 수도 있습니다.

소스 코드 수준에서 디버깅;
실행관리;
메모리 보기 및 변경;
프로세서 레지스터의 내용 보기 및 변경
호출 스택을 보는 중입니다.

소위 디스어셈블된 코드로 작업하기 쉽도록 하기 위해서입니다. 디버깅 기호. 링커가 실행되는 동안 실행 파일의 이미지 외에도 프로그램을 실행할 때 필요하지 않지만 디버깅할 때 매우 유용한 정보(함수 이름, 전역 변수, 설명)가 포함된 데이터 파일을 생성할 수 있습니다. 구조의. 디버깅 기호는 모든 Windows 운영 체제 실행 파일에 사용할 수 있습니다.

실행 제어는 프로그램 코드에서 지정된 명령에 도달하면 프로그램 코드 실행을 중단하고 재개하는 기능을 나타냅니다. 프로그램 코드가 단계별 모드로 실행되면 각 프로그래밍 언어 토큰에 대해 또는 서브루틴을 종료할 때 인터럽트가 발생합니다. 자유 실행에서는 중단점이 설정된 코드의 미리 결정된 섹션에서 실행 중단이 발생합니다.

커널 모드 코드를 중단하면 다음 딜레마가 발생합니다. 디버거는 사용자 인터페이스를 사용하여 프로그래머와 상호 작용합니다. 저것들. 최소한 디버거의 눈에 보이는 부분은 사용자 모드에서 실행되며 자연스럽게 애플리케이션 프로그래밍 인터페이스(Windows API)를 사용하며, 이는 다시 커널 모드 모듈에 의존하여 빌드됩니다. 따라서 커널 모드 코드를 일시 중지하면 교착 상태가 발생할 수 있습니다. 즉, 시스템이 사용자 요청에 대한 응답을 중지합니다.

커널 메모리에 액세스하려면 디버거의 일부도 커널 모드에서 실행되어야 합니다. 이로 인해 한 번에 두 가지 문제가 발생하는데, 이는 프로세서의 보호 모드에서 메모리를 구성한 결과 명백한 결과입니다.

첫 번째 문제는 가상 메모리 주소 변환에 관한 것입니다. 운전자는 사용자 모드 애플리케이션과 지속적으로 상호 작용하여 메모리에 액세스합니다. Windows 운영 체제는 스레드 컨텍스트 개념을 기반으로 가상 주소를 실제 주소로 변환합니다. 스레드 컨텍스트는 스레드의 상태를 반영하고 특히 레지스터 세트와 기타 정보를 포함하는 구조입니다. 제어가 다른 스레드로 전송되면 한 스레드에 대한 정보를 저장하고 다른 스레드에 대한 정보를 복원하는 컨텍스트 전환이 발생합니다. 스레드의 컨텍스트가 다른 프로세스의 스레드로 전환되면 가상 주소를 물리적 주소로 변환하는 데 사용되는 페이지 디렉터리도 전환됩니다.

특이한 점은 시스템 호출을 디스패치할 때 Windows 운영 체제가 컨텍스트를 전환하지 않는다는 것입니다. 이를 통해 커널 모드 코드가 사용자 모드 가상 주소를 사용할 수 있습니다.

인터럽트를 디스패치하거나 시스템 스레드를 실행할 때는 상황이 다릅니다. 인터럽트는 언제든지 발생할 수 있으므로 어떤 스레드 컨텍스트가 사용될지 예측할 수 있는 방법이 없습니다. 시스템 스레드는 어떤 프로세스에도 속하지 않으며 사용자 모드 가상 주소를 변환할 수 없습니다. 이러한 상황에서는 사용자 모드 메모리에 액세스할 수 없습니다.

두 번째 문제는 재배치 가능한 메모리에 액세스하는 것입니다. 메모리에 있는 대부분의 정보는 재배치 가능하며 언제든지 실제 메모리에서 하드 디스크, 페이지 파일로 이동할 수 있습니다. 실제 메모리에 없는 페이지에 액세스하는 경우 프로세서는 일반적으로 메모리 관리자가 처리하는 페이지 오류 인터럽트를 생성하여 페이지 파일에서 페이지를 읽고 실제 메모리에 로드합니다.

디버거 코드가 IRQL(높은 인터럽트 요청 수준)을 사용하도록 강제되면 이 동작이 중단됩니다. IRQL이 메모리 관리자의 IRQL과 일치하거나 초과하는 경우 메모리 관리자는 누락된 페이지를 로드할 수 없습니다. 운영 체제는 페이지 오류 인터럽트를 차단합니다. 이로 인해 운영 체제가 충돌하게 됩니다.

디버깅은 일반적으로 대화형 디버깅과 긴급 디버깅으로 구분됩니다. 대화형 로컬 디버깅에서 디버거는 디버거와 동일한 시스템에서 실행됩니다. 대화형 원격 디버깅에서는 디버거와 디버그 개체가 서로 다른 시스템에서 실행됩니다. 커널 코드를 디버깅할 때 네트워크가 아직 작동하지 않는 부팅의 첫 번째 단계부터 시스템을 제어해야 하므로 시스템 간 통신에는 COM, FireWire, USB와 같은 간단한 직렬 인터페이스가 사용됩니다. 최근에는 다양한 추상화 수준에서 소프트웨어 가상화의 개발 추세로 인해 가상 머신의 사용이 점점 더 많아지고 있습니다. 게스트 OS는 디버그 OS 역할을 하며, 호스트된 OS에는 디버거 사용자 인터페이스가 포함되어 있습니다.

따라서 긴급 디버깅에서는 테스트 컴퓨터에 디버깅 도구를 설치할 필요가 없습니다. Windows 운영 체제 배포판에는 긴급 디버깅을 구현하기 위한 메커니즘이 포함되어 있습니다. 재부팅하기 전에 운영 체제는 상태에 대한 정보를 저장할 수 있으며, 개발자는 이를 분석하고 이유를 찾을 수 있습니다. 파일에 저장된 이러한 정보를 메모리 덤프라고 합니다.

기본 커널 모드 디버깅 도구는 Windows 운영 체제 제조업체에서 무료로 배포되는 Windows용 디버깅 도구 패키지의 일부로 제공됩니다. 도구에는 각각 그래픽 및 콘솔 디버거인 WinDbg 및 KD(이하 Windows 디버거라고 함)가 포함됩니다. 이러한 디버거의 작업은 운영 체제 개발자가 제공하고 커널에 내장된 메커니즘을 기반으로 합니다.

Windows 디버거의 기본 모드는 명령 해석기 모드입니다. 모듈식 구조 덕분에 Windows 디버거는 개발자가 제공한 명령 외에도 확장이라는 타사 모듈을 지원합니다. 실제로 대부분의 내장 명령은 확장으로도 패키지됩니다.

Windows 디버거는 원격 대화형 긴급 디버깅에 중점을 두고 있으며, 이를 사용하면 모든 기능이 드러납니다. 동시에 전체 로컬 대화형 디버깅은 지원되지 않습니다. 디버거에서는 일부 커널 구조만 볼 수 있습니다.

Mark Russinovich가 만든 LiveKD라는 Windows 디버거용 확장 모듈이 있는데, 어떤 의미에서는 로컬 대화형 디버깅을 구현합니다. LiveKD는 즉시 작업 시스템의 메모리 덤프를 생성하고 이를 디버깅에 사용합니다.

Windows용 디버깅 도구 패키지는 정기적으로 업데이트되며 모든 최신 Windows 운영 체제를 지원합니다.

Compuware가 DriverStudio 소프트웨어 패키지로 제작한 SoftICE 커널 디버거는 전통적으로 Windows용 디버깅 도구 패키지의 대안이었습니다. SoftICE의 특징은 지원되는 하드웨어에서 로컬 대화형 디버깅을 구현한다는 것입니다. 디버거는 운영 체제의 작동을 거의 완벽하게 제어할 수 있습니다.

2006년 4월 3일자로 DriverStudio 제품군의 판매는 "다양한 기술 및 비즈니스 문제는 물론 일반적인 시장 상황"으로 인해 중단되었습니다. 지원되는 최신 버전의 운영 체제는 Windows XP 서비스 팩 2입니다. 일반적으로 서비스 팩은 운영 체제의 응용 프로그램 인터페이스를 변경하지 않지만 시스템 호출 번호 및 기타 문서화되지 않은 정보는 변경될 수 있습니다. SoftICE 디버거는 내부 데이터 구조의 하드 코딩된 주소에 의존했습니다. 결과적으로 서비스 팩 3이 출시되면서 호환성이 깨졌습니다. 당연히 이후 버전의 Windows 운영 체제도 지원되지 않습니다.

Syser 커널 디버거는 중국의 소규모 회사인 Sysersoft에서 SoftICE 디버거를 대체하기 위해 만들었습니다. 첫 번째 최종 버전은 2007년에 출시되었습니다. SoftICE와 마찬가지로 Syser Kernel Debugger는 실행 중인 시스템에서 대화형 디버깅이 가능합니다. Windows 최신 버전의 32비트 버전만 지원됩니다.

현재 Windows 디버거는 커널 모듈 개발자의 주요 도구입니다. Windows 운영 체제 커널 팀에서도 사용됩니다.

이 일련의 기사가 나온 이유는 두 가지입니다. 우선 저는 프로젝트에 참여하는 것을 좋아합니다. HackSysExtremeVulnerableDriver. 둘째, 내가 받은 많은 소원이 주제를 다루려고요.

이 시리즈를 작성하는 데 사용된 모든 코드는 내 저장소에 있습니다.

이 기사 시리즈에서는 Windows에서 커널 수준 공격을 작성하는 방법을 살펴보겠습니다. 우리는 알려진 취약점을 다룰 것이며 리버스 엔지니어링이 필요하지 않다는 점을 기억하는 것이 중요합니다(적어도 드라이버의 경우).

모든 기사를 읽은 후에는 가장 일반적인 취약점 클래스와 악용 방법을 모두 알게 될 것이며 x86 아키텍처에서 x64 아키텍처로 악용을 포팅하고(가능한 경우) 새로운 보호 방법에 익숙해질 수 있을 것으로 예상됩니다. 윈도우 10에서.

커널 디버그 회로

단일 프로세스의 실행을 일시 중단하는 사용자 수준 디버깅과 달리 커널 수준 디버깅은 전체 시스템을 포함하므로 이 방법을 사용할 수 없습니다. 따라서 커널이 디버깅되는 시스템과 통신하고, 메모리와 커널 구조를 보고, 시스템 충돌을 포착할 수 있는 별도의 디버깅 시스템이 필요합니다.

추가 학습 자료:

커널 취약점 악용

이 과정은 사용자 J 수준에서 작업하는 것보다 훨씬 더 재미있습니다.

주요 목표는 커널 컨텍스트에서 특권 실행을 달성하는 것입니다. 그리고 수제 맥주를 곁들인 잔치부터 국가 후원 악성 코드 도입에 이르기까지 모든 것이 우리의 상상력에 달려 있습니다.
일반적으로 우리의 임무는 시스템 권한이 있는 쉘을 얻는 것입니다.

이 시리즈 기사의 주제

1부: 작업 환경 설정

세 개의 가상 머신과 디버거 역할을 할 시스템을 구성합니다.
WinDBG 디버거 구성.

2부: 페이로드

가장 일반적인 페이로드를 살펴보세요. 후속 부분에서는 특정 취약점을 해결하고 해당하는 경우 이 문서에 대한 링크를 제공합니다.

나머지 부분.

취약점 고려.

커널 익스플로잇 개발 라이프사이클

취약점 찾기. 이 주제는 이 시리즈에서 논의되지 않습니다. 왜냐하면 우리는 이미 격차가 어디에 있는지 정확히 알고 있기 때문입니다.
실행 스레드 가로채기. 일부 취약성은 코드 실행과 관련되며 일부는 추가 요구 사항이 있습니다.
권한 승격. 주요 목표는 시스템 권한이 있는 쉘을 얻는 것입니다.
실행 스레드 복원. 커널 수준에서 확인되지 않은 예외로 인해 시스템이 중단됩니다. DoS 공격에 대한 익스플로잇을 작성하지 않으려면 이 사실을 고려해야 합니다.

대상 시스템 유형

우리는 다음 시스템의 취약점을 해결하기 위해 노력할 것입니다(특정 버전은 중요하지 않습니다):

Win7 x86 VM
Win7 x64 VM
Win10 x64 VM

x86 아키텍처부터 시작한 다음 익스플로잇을 Win7 x64 시스템으로 포팅하겠습니다. 새로운 보호 기능으로 인해 일부 공격은 Win10 시스템에서 실행되지 않습니다. 이 경우 공격 논리를 변경하거나 완전히 다른 접근 방식을 사용합니다.

사용된 소프트웨어:

하이퍼바이저(다양한 옵션).
윈도우 7 x86 VM
윈도우 7 x64 VM
윈도우 10 x64 VM

디버깅을 위한 시스템 설정

우리가 상호 작용할 디버그 시스템은 취약한 드라이버를 로드하도록 설계되었습니다. 커널의 대부분의 예외가 이러한 유형의 현상에 영향을 미치기 때문에 이러한 시스템은 자주 충돌합니다. 이러한 시스템에는 충분한 RAM을 할당해야 합니다.

디버깅할 각 머신에서 다음을 수행해야 합니다.

VirtualKD 디렉터리 내에서 target\vminstall.exe 파일을 실행합니다. 새로운 부팅 항목이 추가되고 디버깅 기능을 사용할 수 있으며 디버거 역할을 하는 시스템에 설치된 VirtualKD 서버에 자동으로 연결됩니다.

Windows 10 VM의 경우 서명되지 않은 드라이버를 커널에 로드할 수 있는 테스트 서명 모드를 활성화해야 합니다.

bcdedit /set 테스트 명령을 실행하고 재부팅하면 바탕 화면에 "테스트 모드"가 나타납니다.

HEVD 모듈에 대한 간략한 설명

DriverEntry 프로시저는 각 드라이버의 시작 프로시저입니다.

NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath)(
UINT32 나는 = 0;
PDEVICE_OBJECT DeviceObject = NULL;
NTSTATUS 상태 = STATUS_UNSUCCESSFUL;
UNICODE_STRING DeviceName, DosDeviceName = (0);

UNREFERENCED_PARAMETER(레지스트리 경로);
PAGED_CODE();

RtlInitUnicodeString(&DeviceName, L"\\Device\\HackSysExtremeVulnerableDriver");
RtlInitUnicodeString(&DosDeviceName, L"\\DosDevices\\HackSysExtremeVulnerableDriver");

//디바이스 생성
상태 = IoCreateDevice(DriverObject,
0,
&장치 이름,
FILE_DEVICE_UNKNOWN,
FILE_DEVICE_SECURE_OPEN,
거짓,
&장치 개체);

이 절차에는 통신 중에 사용할 드라이버 이름이 포함된 IoCreateDevice 함수에 대한 호출이 포함되어 있습니다.
필요한 구조와 함수 포인터가 DriverObject 개체에 추가됩니다.
우리에게 중요한 것은 IOCTL(I/O 제어) 처리를 담당하는 DriverObject->MajorFunction 프로시저와 연관된 함수 포인터입니다.
HEVD에서 이 함수는 IrpDeviceIoCtlHandler라고 불리며, 이는 각 IOCTL에 대한 많은 분기가 있는 대규모 조건식입니다. 각 취약점에는 고유한 IOCTL이 있습니다.

예: HACKSYS_EVD_IOCTL_STACK_OVERFLOW는 스택 오버플로 공격을 트리거하는 데 사용되는 IOCTL입니다.

이것으로 첫 번째 부분을 마칩니다. 다음 글에서는 페이로드(payload)에 대해 이야기하겠습니다. 현재 사용 가능한 유일한 페이로드는 세 번째 부분에서 사용될 토큰을 훔치도록 설계된 페이로드입니다.

추신 나는 당신이 직면할 수 있는 많은 복잡함과 문제가 있다는 것을 이해합니다. 이 시리즈는 익스플로잇 개발에 중점을 두기 때문에 관련된 모든 문제를 직접 해결해야 합니다. 하지만 궁금한 점은 댓글로 질문하실 수 있습니다.

chPF OELPFPTSCHE KHLBBOYS RP TBVPFE U PFMBDLPK SDTB U BCHBTYKOSHNY DBNRBNY RBNSFY. lBL RTBCHYMP, CHBN OHTSOP VKDEF ЪBDBFSH PDOP YЪ KHUFTPKUFCH RPDLBULY, RETEYUYUMEOOSCHI CH ZHBKME /etc/fstab . uvtpu pvtbpch RBNSFY O KHUFTPKUFCHB, OE SCHMSAEYEUS KHUFTPKUFCHBNY RPDLBYULY, OBRTYNET, MEOFSHCH, CH DBOOSCHK NPNEOF OE RPDDETSYCHBAFUS.

메모: YURPMSHHKFE LPNBODH 덤폰 (8) DMS KHLBBOYS SDTH NEUFB, ZDE OHTsOP UPITBOSFSH BCHBTYKOSHCHE DBNRSCH. rPUME OBUFTPKLY RP LPNBODE 스왑온 (8) TBDEMB RPDLBYULY DPMTSOB VSHCHFSH CHSHCHBOB RTPZTBNNNB 덤프. pVSHYUOP LFP CHSHRPMOSEPHUS ЪBDBOYEN RETENOOOPK dumpdev CH ZHBKME rc.conf (5). еUMY ЪБДБOB ьФБ RATENEOOBS, FP RPUME UVPS RTY RETCHPK NOPZPRPMSHЪPCHBFEMSHULPK RETEЪBZTHЪLE VHDEF BCHFPNBFYUEULY ЪBRHEEOOB RTPZTBNNNB 세이브코어 (8). pOB UPITBOIF BCHBTYKOSHCHK DBNR SDTB CH LBFBMPZ, ЪBDBOOSCHK CH RETENEOOOPK dumpdir ZHBKMB rc.conf . rP KHNPMYUBOYA LBFBMPZPN DMS BCHBTYKOSCHI DBNRPCH SCHMSEFUS /var/crash .

mYVP CHSC NPTSEFE ЪBDBFSH KHUFTPKUFCHP DMS UVTPUB PVTBB RBNSFY SCHOP YUETE RBTBNEFT 덤프 CH UFTPLE 구성 LPOZHYZHTBGYPOOPZP ZHBKMB CHBYEZP SDTB. fBLPK URPUPV YURPMSHЪPCHBFSH OE TELPNEODHEFUS Y BY DPMTSEO YURPMSHЪPCHBFSHUS, FPMSHLP EUMY CHSCH IPFYFE RPMKHYUBFSH BCHBTYKOSHCHE PVTBSCH RBNSFY SDTB, LPFPTPE BCHBTYKOP ЪBCHETYBEF UCHPA TBVPFH RTY ЪBZTHЪLE.

메모: dBMEE FETNYO gdb PYOBYUBEF PFMBDYUYL gdb , ЪBRHEEOOSCHK CH ``TETSINE PFMBDLY SDTB". RETEIPD CH LFPF TETSYN DPUFYZBEFUS ЪBRHULPN gdb U RBTBNEFTPN -k . h TETSYNE PFMBDLY SDTB gdb YЪNEOSEF UCHPЈ RTYZMBYEOYE 정보(kgdb) .

팁: eUMY CHSH YURPMSH'HEFE FreeBSD CHETUYY 3 YMY VPMEE TBOOAA, CHCH DPMTSOSCH CHSHRPMOYFSH HUEYEOYE PFMBDPUOPZP SDTB LPNBODPK 스트립, B OE KHUFBOBCHMYCHBFSH VPMSHYPE PFMBDPUOPE SDTP:
# cp 커널 kernel.debug # 스트립 -g 커널
bFPF YBZ OE FBL KhTS Y OEPVIPDYN, OP TELPNEODKHEN. (PH FreeBSD 4차 VPMEE TEMYYBI LFPF YBZ CHSPRMOSEFUS BCHFPNBFYUEULY CH LPOGE RTPGEUUB RPUFTPEOOYS SDTB make .) lPZDB SDTP HUEYEOP, BCHFPNBFYUEULY YMY RT Y RPNPEY LPNBOD CHCHYE, CHCH NPTSEFE KHUFBOPCHYFSH EZP PVSHCHYUOSCHN PVTBB PN, OVTTBCH make install .

ъBNEFSHFE, YuFP CH UFBTSHCHETUISI FreeBSD (DP 3.1, OE CHLMAYUBS LFPF TEMY), YURPMSHHEFUS SDTB CH ZHTNBFE a.out, RPFPNH YI FBVMYGSH UYNCHPMPCH DPMTSOSCH TBURPMBZBFShu S RPUFPSOOP CH RBNSFY. u VPMSHYPK FBVMYGEK UYNCHPMPCH CH OE HUEYOOOPN PFMBDPUOPN SDTE LFP YЪMYYOSS FTBFB. rPUMEDOYE TEMYYSH FreeBSD YURPMSHJHAF SDTB CH ZHTNBFE ELF, ZHE LFP OE SCHMSEFUS RTPVMENPK.

eUMY CHCH FEUFYTHEFE OPChPE SDTP, ULBTSEN, OBVYTBS YNS OPCHPZP SDTB CH RTYZMBYYE OYBZTHYUYLB, OP CHBN OHTSOP ЪBZTHTSBFSH Y TBVPFBFSH U DTHZYN SDTPN, SC UOPCHB CHETOHFSHUS L OPTNBMSHOPNH ZHOLGYPOYTPCHBOYA, ЪBZTHTSBKFE EZP FPMSHLP CH PDOPRPMSHЪPCHBFEMSHULPN TETSYNE RTY RPNPEY ZHMBZB -s , KHLBSCCHBENPZP RTY ЪBZTH ЪLE, B ЪBFEN CHSHRPMOYFE FBLYE YBZY:

# fsck -p # mount -a -t ufs # /var/crash에 대한 파일 시스템에 쓰기 가능하도록 # savecore -N /kernel.panicked /var/crash # 종료 # ...다중 사용자로

bFB RPUMEDPCHBFEMSHOPUFSH KHLBSCCHBEF RTPZTBNNE 세이브코어 (8) YURPMSHЪPCHBOYE DTHZPZP SDTB DMS YЪCHMEYUEOYS UYNCHPMYUEULYI YNEO 소개. YOBYUE POB VKhDEF YURPMSHЪPCHBFSH SDTP, TBVPFBAEE CH DBOOSHK NPNEOF Y, ULPTEE CHUEZP, OYUEZP OE UDEMBEF, RPFPNH YuFP BCHBTYKOSHCHK PVTB RBNSFY YYNCHPMSCH SDTB F PFMYUBFSHUS.

b FERETSH, RPUME UVTPUB BCHBTYKOPZP DBNRB, RETEKDYFE CH LBFBMPZ /sys/compile/WHATEVER Y ЪBRKHUFYFE LPNBODH gdb -k . yЪ RTPZTBNNSH gdb UDEMBKFE CHPF SFP:

기호 파일 kernel.debug exec-file /var/crash/kernel.0 코어 파일 /var/crash/vmcore.0 Y CHBMS - CHCH NPTSEFE PFMBTSYCHBFSH BCHBTYKOSHK DBNR, YURPMSHЪHS YUIPDOSCH FELUFSCH SDTB FPYuOP FBLCE, LBL CHSHCH LFP D EMBEFE AT MAVPC DTHZPK RTPZTBNNPK.

chPF TsKHTOBM LPNBOD UEBOUB TBVPFSH gdb, YMMAUFTYTHAEIK bfh RTPGEDHTH. dMYOOSCH UBTPLY VSHMY TBPTCHBOSH DMS KHMHYUYEOYS YUYFBVEMSHOPUFY Y DMS KHDPVUFCHB UBTPLY VSHCHMY RTPOKHNETPCHBOSHCH. CHUE PUFBMSHOPE SCHMSEFUS FTBUUYTPCHLPK PYYVLY, TEBMSHOP CHPOYLOKHCHYEK PE CHTENS TBVPFSCH Obd DTBKCHETPN LPOUPMY pcvt.

1:스크립트는 1994년 12월 30일 금요일 23:15:22에 시작되었습니다. 2: # cd /sys/compile/URIAH 3: # gdb -k kernel /var/crash/vmcore.1 4: /usr/src/에서 기호 데이터 읽기 sys/compile/URIAH/kernel ...완료. 5:IdlePTD 1f3000 6:panic: 네가 말했으니까! 7:1e3f70의 현재 PCB 8:../../i386/i386/machdep.c...완료에 대한 기호 읽기. 9: (kgdb) 여기서 10:#0 boot (arghowto=256) (../../i386/i386/machdep.c 줄 767) 11:#1 0xf0115159 in 패닉 () 12:#2 0xf01955bd in diediedie ( ) (../../i386/i386/machdep.c 라인 698) 13:#3 0xf010185e in db_fncall () 14:#4 0xf0101586 in db_command (-266509132, -266509516, -267381073) 15:#5 xf0101711in db_command_loop() 16:#6 0xf01040a0 in db_trap() 17:#7 0xf0192976 in kdb_trap(12, 0, -272630436, -266743723) 18:#8 0xf019d2eb intrap_fatal(...) 19:#9 0xf 019 Trap_pfault의 ce60 ( ...) 20:#10 트랩의 0xf019cb2f (...) 21:#11 예외의 0xf01932a1:calltrap () 22:#12 cnopen의 0xf0191503 (...) 23:#13 spec_open의 0xf0132c34 () 24 : #14 0xf012d014 in vn_open () 25:#15 0xf012a183 in open () 26:#16 0xf019d4eb in syscall (...) 27: (kgdb) up 10 28: ../../i386/에 대한 기호 읽기 i386 /trap.c...완료. 29:#10 0xf019cb2f 트랩(프레임=(tf_es = -260440048, tf_ds = 16, tf_\ 30:edi = 3072, tf_esi = -266445372, tf_ebp = -272630356, tf_isp = -27\ 31:263 0396, tf_ebx = - 266427884, tf_edx = 12, tf_ecx = -266427884, tf\ 32:_eax = 64772224, tf_trapno = 12, tf_err = -272695296, tf_eip = -26\ 33:6672343, tf_cs = -26 64693 68, tf_eflags = 66066, tf_esp = 3072 , tf_\ 34:ss = -266427884)) (../../i386/i386/trap.c line 283) 35:283 (void) Trap_pfault(&frame, FALSE); 36: (kgdb) 프레임 프레임->tf_ebp 프레임->tf_eip 37:../../i386/isa/pcvt/pcvt_drv.c...done에 대한 기호 읽기. 38:#0 0xf01ae729 in pcopen (dev=3072, flag=3, mode=8192, p=(struct p\ 39:roc *) 0xf07c0c00) (../../i386/isa/pcvt/pcvt_drv.c 라인 403) 40:403 return ((*linesw.l_open)(dev, tp)); 41: (kgdb) 목록 42:398 43:399 tp->t_state |= TS_CARR_ON; 44:400 tp->t_cflag |= CLOCAL; /* 모뎀이 될 수 없습니다. (:-) */ 45:401 46:402 #if PCVT_NETBSD || (PCVT_FREEBSD >= 200) 47:403 return ((*linesw.l_open)(dev, tp)); 48:404 #else 49:405 return ((*linesw.l_open)(dev, tp, flag)); 50:406 #endif /* PCVT_NETBSD || (PCVT_FREEBSD >= 200) */ 51:407 ) 52: (kgdb) print tp 53: ../../i386/i386/cons.c...done에 대한 기호 읽기. 54:$1 = (struct tty *) 0x1bae 55: (kgdb) print tp->t_line 56:$2 = 1767990816 57: (kgdb) up 58:#1 0xf0191503 in cnopen (dev=0x00000000, flag=3, mode=8192 , p=(st\ 59:ruct proc *) 0xf07c0c00) (../../i386/i386/cons.c 라인 126) 60: return ((*cdevsw.d_open)(dev, 플래그, 모드, p) ); 61: (kgdb) 최대 62:#2 0xf0132c34 in spec_open () 63: (kgdb) 최대 64:#3 0xf012d014 in vn_open () 65: (kgdb) 최대 66:#4 0xf012a183 in open () 67: (kgdb) up 68:#5 0xf019d4eb syscall(프레임=(tf_es = 39, tf_ds = 39, tf_edi =\ 69: 2158592, tf_esi = 0, tf_ebp = -272638436, tf_isp = -272629788, tf\ 70:_ebx = 708 6, tf_edx = 1, tf_ecx = 0, tf_eax = 5, tf_trapno = 582, \ 71:tf_err = 582, tf_eip = 75749, tf_cs = 31, tf_eflags = 582, tf_esp \ 72:= -272638456, s = 39)) (. ./../i386/i386/trap.c 라인 673) 73:673 error = (*callp->sy_call)(p, args, rval); 74: (kgdb) up 75: 초기 프레임이 선택됨; 당신은 올라갈 수 없습니다. 76: (kgdb) quit 77: # 종료 78:exit 79: 80:1994년 12월 30일 금요일 23:18:04에 스크립트 완료

lPNNEOFBTYY L CHSHCHYYERTYCHEDEOOPNH TSHTOBMKH:

UFTPLB 6:

ьФП DBNR, CHSFSHCHK RTY RPNPEY DDB (UNPFTY OITSE), RPPFPNH LPNNEOFBTYK L BCHBTYKOPNH PUFBOPCHH YNEEF YNEOOP CHYD ``당신이 말했으니까!'' Y FTBUUYTPCHLB UFELB ZMHVPLB; PDOBLP YOBYUBMSHOPK RTYYUYOPK RETEIPDB CH DDB VSHMB BCHBTYKOBS PUFBOPCHLB RTY CHPOYLOPCHEOYA PYYVLY UFTBOIGSC RBNSFY.

UFTPLB20:

lFP NEUFPOBIPTSDEOOYE ZHKHOLGYY 트랩() CH FTBUUYTPCHLE UFELB.

UFTPLB36:

rTYOKHDIFEMSHOPE YURPMSHЪPCHBOIE OPChPK ZTBOYGSCH UFELB; FERTSH LFP OE OHTSOP. rTEDRPMBZBEFUS, YuFP ZTBOYGSCH UFELB KHLBSCCHBAF RTBCHYMSHOP TBURPMPTSEOYE 정보, DBCE CH UMHUBE BCHBTYKOPZP PUFBOPCHB. UFTPLH YUIDOPZP LPDB 403, NPTsOP ULBBFSH, YuFP CHEUSHNB CHETPSFOP, YuFP MYVP CHYOPCHBF DPUFHR RP KHLBBFEMA ``tp"", MYVP VSHM CHSHCHIPD ЪB ZТBOYGSH NBUUYCHB에 대한 zMSDS.

UFTPLB52:

rPIPTSE, YuFP CHYOPCHBF KHLBBFEMSH, SCHMSEFUS DPRKHUFYNSCHN BDTEUPN의 OP.

UFTPLB56:

NHUPT, FBL UFP NSCH OBYMY OBYKH PYYVLH에 대한 pDOBLP, PYUECHYDOP, KHLBSCCHBEF의 UFP! (DMS FEI, LFP OE OBLPN U LFPC YUBUFSHHA LPDB: tp->t_line UMHTSYF DMS ITBOEOYS TETSYNB LBOBMSB LPOUPMSHOPZP HUFTPKUFCHB, Y LFP DPMTSOP VShchFSH DPUFBFPYuOP NBMEOSHLPE GEMPE YUYUMP .)

"커널 디버깅"이라는 용어는 커널의 내부 데이터 구조를 검사하거나 커널의 기능을 단계별로 추적하는 것을 의미합니다. 이 디버깅은 다른 방법으로는 볼 수 없는 내부 시스템 정보를 볼 수 있고 커널의 코드 진행 상황을 명확하게 보여주기 때문에 Windows의 내부 작동을 검사하는 데 매우 유용한 방법입니다.

커널을 디버깅하는 다양한 방법을 살펴보기 전에 모든 종류의 커널 디버깅을 수행하는 데 필요한 파일 세트를 살펴보겠습니다.

커널 디버깅을 위한 기호

기호 파일에는 함수 및 변수의 이름은 물론 데이터 구조의 레이아웃 및 형식이 포함됩니다. 이는 링커 프로그램에 의해 생성되며 디버거에서 이러한 이름을 참조하고 디버깅 세션 중에 표시하는 데 사용됩니다. 이 정보는 코드가 실행될 때 필요하지 않기 때문에 일반적으로 이진 코드에 저장되지 않습니다. 이는 이것이 없으면 바이너리 코드가 더 작아지고 더 빠르게 실행된다는 것을 의미합니다. 그러나 이는 디버깅할 때 디버거가 디버깅 세션 중에 참조된 이진 이미지와 관련된 기호 파일에 액세스할 수 있는지 확인해야 함을 의미하기도 합니다.

커널 모드 디버깅 도구를 사용하여 Windows 커널 데이터 구조의 내부(프로세스 목록, 스레드 블록 목록, 로드된 드라이버 목록, 메모리 사용 정보 등)를 검사하려면 올바른 기호 파일이 필요하며 다음 위치에 있습니다. 최소 커널 바이너리 이미지(Ntoskrnl.exe)에 대한 기호 파일. 기호 테이블 파일은 추출된 바이너리 이미지의 버전과 일치해야 합니다. 예를 들어, Windows 서비스 팩이나 커널을 업데이트하는 일종의 패치를 설치한 경우 이에 따라 기호 파일을 업데이트해야 합니다.

다양한 Windows 버전에 대한 기호를 다운로드하고 설치하는 것은 쉽지만 패치 기호를 업데이트하는 것이 항상 가능한 것은 아닙니다. 디버깅에 필요한 기호 버전을 얻는 가장 쉬운 방법은 디버거에 지정된 기호 경로에 대한 특수 구문을 사용하여 이 목적으로 특별히 설계된 Microsoft 기호 서버에 연결하는 것입니다. 예를 들어, 다음 기호 경로를 사용하면 디버깅 도구가 온라인 기호 서버에서 기호를 다운로드하고 c:\symbols:srv*c:\symbols*http://msdl.microsoft.com/download/에 로컬 복사본을 저장합니다. 기호

기호 서버 사용에 대한 자세한 지침은 디버깅 도구 도움말 파일이나 온라인(http://msdn.microsoft.com/en-us/windows/hardware/gg462988.aspx)에서 찾을 수 있습니다.

커널 디버거를 시작하는 방법은 무엇입니까?

스승님의 대답:

소프트웨어 개발 프로세스에는 디버깅이라는 매우 중요한 구성 요소가 있습니다. 응용 프로그램과 관련하여 사용자 모드에서 작동하는 수단으로 수행되며 종종 IDE에 내장됩니다. 예를 들어 드라이버를 디버그하려면 커널 디버거를 실행해야 합니다.

cmd 명령 프로세서를 시작해야 합니다. 작업 표시줄에서 시작 메뉴를 엽니다. 나타나는 창에서 "실행…" 항목을 클릭합니다. “프로그램 실행” 창이 나타납니다. 텍스트 필드에 cmd를 입력한 다음 확인을 클릭합니다.

이제 boot.ini 파일을 백업하세요. 먼저 echo %SystemRoot% 명령을 사용하여 현재 Windows 복사본의 설치 경로를 찾으세요.

그런 다음 장치 문자와 콜론을 차례로 입력하여 운영 체제가 설치된 디스크로 이동합니다. cd 명령을 사용하여 루트 디렉터리로 이동합니다. 이제 attrib 명령을 사용하여 boot.ini 파일에서 "숨겨진", "읽기 전용" 및 "시스템" 속성을 제거하십시오. 복사 명령을 사용하여 백업 복사본을 만든 다음 해당 속성을 설정합니다.

현재 부팅 옵션 목록을 표시하려면 bootcfg /query 명령을 사용합니다. 목록을 살펴보고 커널 모드에서 디버깅할 수 있는 기능을 사용하여 새 설정을 생성할 요소를 결정합니다. 부팅 항목 ID를 기억해야 합니다.

bootcfg/copy 명령을 사용하여 부팅 항목을 만듭니다. 복사할 레코드의 ID를 지정하려면 /id 매개변수를 사용하세요. /d 옵션을 사용하여 표시할 항목의 이름을 지정합니다. 이제 bootcfg /query 명령을 사용하여 부팅 옵션 목록으로 돌아가서 추가된 항목의 ID를 확인해야 합니다.

이제 이전에 생성된 부팅 항목에 커널 디버거를 시작하는 옵션을 포함해야 합니다. 대상 컴퓨터에서 디버깅하려면 /debug 옵션만 추가하면 됩니다.

COM 포트를 통해 대상 컴퓨터를 호스트 시스템에 연결하여 원격 디버깅을 수행하려면 /port 및 /baud 옵션을 사용하여 포트 번호와 전송 속도를 지정하십시오.

FireWire 케이블(IEEE 1394 인터페이스)을 통해 원격 디버깅을 수행하려는 경우 /dbg1394 옵션을 사용하여 해당 모드를 활성화하고 /ch 옵션을 사용하여 채널 번호를 지정합니다.

변경 사항이 적용되었는지 확인하려면 /query 매개변수와 함께 bootcfg 명령을 사용하여 부팅 파일을 확인하세요. 종료 명령을 실행한 후 쉘 창을 닫습니다.

필요한 경우 운영 체제 부팅 설정을 변경합니다. 시작 메뉴를 통해 제어판을 열고 시스템 항목을 엽니다. 열리는 "시스템 속성" 창에서 "고급" 탭을 선택합니다. 이 탭에서 "부팅 및 복구" 섹션을 선택하고 "옵션" 버튼을 클릭합니다. 나타나는 "부팅 및 복구" 창에서 "운영 체제 목록 표시" 옵션을 활성화해야 합니다. "확인" 버튼을 눌러 두 대화 상자를 모두 닫습니다.

컴퓨터를 다시 시작하십시오. 디버거로 부팅을 선택합니다. 로그인하여 대상 컴퓨터에서 작업을 시작하거나 원격으로 디버깅을 시작하세요. WinDbg 및 KD와 같은 도구를 사용하십시오.