背景:最近需要逆向國內某知名視頻軟件的一個功能,公司配置的電腦是64位的,目標程序(一個DLL)在64位機器上也是64位的,用64位IDA調試時,按F5鍵無法形成類"C"的代碼(網上有相關的解決辦法,但是本人沒有測試出來),但是用32位的IDA分析32爲的程序就沒的問題。因此蒐集資料,最終選取構造一個32位的虛擬機系統,用32爲的IDA+Windbg採用動靜結合的方式逆向程序。
調試環境:Windows + Windbg + VMware
1.建立Windows和虛擬機的雙機調試環境(具體辦法參考《寒江獨釣》或《Windows驅動設計》)
2.以Debug的方式啓動虛擬機
3.在虛擬機中打開任務管理器查看想要調試進程的ID
4.待程序加載完畢後,中斷虛擬機,在Windbg命令行中輸入命令 !process 0 0
5.找到目標進程的ID,輸入命令.process /p [PRCESS值],從而選中需要調試的進程
6.輸入命令.reload /f /user,加載模塊符號
7.這樣就可以跟調試本地進程一樣調試遠程進程了