總在使用者態偵錯 C# 程式,終還是搭了一個核心態環境
一:背景
一直在用 WinDbg 偵錯使用者態程式,並沒有用它偵錯過 核心態,畢竟不是做驅動開發,也沒有在分析 dump 中需要接觸用核心態的需求,但未知的事情總覺得很酷,加上最近在看 《深入解析 Windows 作業系統》 一書,書中有不少案例需要深入到 核心態 ,所以這篇準備整理一下如何用 WinDbg 偵錯 C# 核心態吧。
操作環境:
- Windbg Preview
- 宿主機:Windows 10
- 虛擬機器器:Windows 10
二:搭建核心態偵錯
1. 基本原理
作業系統的載入程式 BootMgr 和 WinLoad 內建了偵錯模式,支援以 COM 介面互通,所以我們需要先新增一種可供偵錯的啟動項,供載入程式 BootMgr 啟動時彈框讓我們選擇。
2. 設定偵錯啟動項
大家可以在 https://msdn.itellyou.cn/ 下載一個完整版的 Window10 ISO 包,這裡就不細說了,啟動虛擬機器器進入 Windows10 ,以管理員模式開啟 CMD 視窗,執行如下 四條命令 來編輯 bcd (Boot Configuration Data)。
bcdedit /dbgsettings serial baudrate:115200 debugport:1
bcdedit /copy {current} /d WinDbg
bcdedit /displayorder {current} {ID}
bcdedit /debug {ID} ON
注意一下,這裡的 {ID} 是 CMD 上生成的 GUID,這是你的啟動項唯一鍵,別名是 WinDbg, 在我的介面上大概是這個樣子:
3. 設定 COM 介面
這裡有幾個步驟要注意了,大致如下:
1) 把印表機選項移除了,因為它佔用了 COM1 介面。
2) 新增一個 串列埠。
3)在 使用命名管道 中填入 \\.\pipe\com_1, 同時勾選 輪詢時主動放棄CPU。
設定完之後點選確定,完整截圖如下:
4. 設定 Windbg Preview
我們把 WinDbg 開啟,選擇 Attach to kernel 選項,然後選擇 COM 模式,設定 Baud Rate = 115200 ,然後是 Port=\\.\pipe\com_1 ,設定完之後點選 OK, 完整截圖如下:
如果一切正常的話,Windbg 應該是如下輸出,等待COM連線狀態。
Microsoft (R) Windows Debugger Version 10.0.25136.1001 AMD64
Copyright (c) Microsoft Corporation. All rights reserved.
Waiting for pipe \\.\pipe\com_1
Waiting to reconnect...
5. 啟動虛擬機器器
這些都設定完之後,我們重新啟動虛擬機器器,在 BootMgr 階段會出現兩個引導項,其中一個就是在 小項2 時設定的,我們選擇它就好了,完整截圖如下:
稍等片刻後 WinDbg 會顯示連線成功,在進入初始化時會 int 3 中斷, 如果你真的到了這一步,那恭喜你!!!
Microsoft (R) Windows Debugger Version 10.0.25136.1001 AMD64
Copyright (c) Microsoft Corporation. All rights reserved.
Waiting for pipe \\.\pipe\com_1
Waiting to reconnect...
Connected to Windows 10 10240 x64 target at (Thu Sep 1 23:23:35.235 2022 (UTC + 8:00)), ptr64 TRUE
Kernel Debugger connection established. (Initial Breakpoint requested)
************* Path validation summary **************
Response Time (ms) Location
Deferred srv*c:\mysymbols_fix*https://msdl.microsoft.com/download/symbols
Error D:\net5\ConsoleApp1\Debug
Deferred srv*c:\mysymbols*https://msdl.microsoft.com/download/symbols
Symbol search path is: srv*c:\mysymbols_fix*https://msdl.microsoft.com/download/symbols;D:\net5\ConsoleApp1\Debug;srv*c:\mysymbols*https://msdl.microsoft.com/download/symbols
Executable search path is:
Windows 10 Kernel Version 10240 MP (1 procs) Free x64
Edition build lab: 10240.17394.amd64fre.th1_st1.170427-1347
Machine Name:
Kernel base = 0xfffff802`a3c7b000 PsLoadedModuleList = 0xfffff802`a3fa0070
System Uptime: 0 days 0:00:00.092
nt!DebugService2+0x5:
fffff802`a3dcfca5 cc int 3
因為是初始化中斷,接下來在 WinDbg 命令面板中先用 g 執行,讓作業系統繼續跑下去,稍等片刻就會進入到 Windows 10 的操作介面。
6. netcore 測試
前段時間寫了一篇文章,聊到了 ReadFile 從使用者態切到核心態的過程,還畫了一張圖。
現在可以偵錯 核心態 那何不試試看呢??? 哈哈,說幹就幹,先上一段測試程式碼。
static void Main(string[] args)
{
var i = 0;
File.WriteAllText(@"C:\1.txt", "hello world!");
while (true)
{
var str = File.ReadAllText(@"C:\1.txt");
Console.WriteLine($"{i++}, content={str.Length}");
Thread.Sleep(1000);
}
Console.ReadLine();
}
為了方便觀察使用者態棧,我在虛擬機器器中的 Windows10 系統上安裝一個 WinDbg10,目的就是攔截 ntdll!NtReadFile 函數時輸出 使用者態棧。
bp ntdll!NtReadFile "k 10;gc"
可以看到每次只要程式輸出一次,windbg10 都能成功攔截,接下來在宿主機的 WinDbg Preview 中先輸入 .reload 重新載入下符號,目的就是方便看到使用者態上的 ntdll.dll 函數名,但不一定好使,碰碰運氣吧,接下來輸入 nt!NtReadFile 觀察核心態棧。
bp nt!NtReadFile
從新老Windbg截圖中,可以清晰的看到,這個的 Child-SP 執行緒棧終於對接上了,也就驗證了圖上所說:ntdll!NtReadFile (使用者態閘道器) -> nt!KiSystemServiceCopyEnd(核心態排程中心) -> nt!NtReadFile (核心態處理常式)。
好了,本篇就先說這麼多,希望對大家有幫助,也是對自己的一個總結。