# WinDbg ## Intermediate WinDbg | **ctrl + e** – *open file executable* | | -------------------------------------------------------------------- | | **.reload /f** – *will restart program execution from the beginning* | | **q, qq** – *quit* | | **k, kb, kc, kd, kp, kP, kv** – *Display Stack Backtrace* | | **pa \

** *– for ste**p** to **a**ddress* | | **ta \

** – *for **t**race to **a**ddress* | Dưới đây là note của tôi vì thời gian có hạn nên tôi up lên đây: {% embed url="" %} {% file src="/files/t7gMzUaYWQJLGPCWX5F2" %} Phần tiếp theo... ## Advanced WinDbg ### 1. Chuẩn bị 2 máy ảo * 1 máy target và 1 máy Debugger * Mỗi máy sẽ đều được cài đặt python và cài đặt các công cụ được tự động thông qua file setup\_vm.py (6) #### Enable kernel debugge ``` bcdedit /debug on bcdedit /dbgsettings net hostip: port:50000 key:a.b.c.d ``` * Debugger\_VM host-only adapter IP - là địa chỉ IP của máy ảo Debugger\_VM * port và key là tùy #### Tạo file để chạy windbg với việc thiết lập tự động (.bat) ```batch REM Debug only "C:\Users\IEUser\AppData\Local\Microsoft\WindowsApps\WinDbgX.exe" /k net:port=50000,key=a.b.c.d REM Debug only and specifying the IP address for maximizing success REM "C:\Users\IEUser\AppData\Local\Microsoft\WindowsApps\WinDbgX.exe" /k net:port=50000,key=a.b.c.d,target=192.168.119.172 REM Debug and load a script REM http://yeilho.blogspot.com/2012/10/windbg-init-script.html REM "C:\Users\IEUser\AppData\Local\Microsoft\WindowsApps\WinDbgX.exe" /k net:port=50000,key=a.b.c.d -c "$$>< dbg-prep.cmd" REM Debug and load a script / specifying the IP address for maximizing success REM "C:\Users\IEUser\AppData\Local\Microsoft\WindowsApps\WinDbgX.exe" /k net:port=50000,key=a.b.c.d,target=192.168.119.172 -c "$$>< dbg-prep.cmd" ``` ### 2. Configuring Ghidra/IDA Pro * Phần này chỉ tiết lập một số bước để GUI được thuận tiện cho việc debug của mình, tối ưu hóa việc đọc và hiểu * Tải về phiên bản phù hợp (1) * Edit -> Tool Options và thiết lập như sau:

Bỏ chọn phần Markup Register Variable References

* Để hiển thị hoặc không hiển thị một số trường ở Listing ta thao tác như sau: ta nhấn vào Edit the Listing fields -> sau disable những trường mà mình không muốn hiển thị hoặc tăng giảm độ rộng của trường.

chuột phải vào trường mà mình muốn không hiển thị -> chọn disable field

* Hiển thị phần Bookmarks: có thể sử dụng shortcut: Ctrl + B hoặc vào Window -> Bookmarks

### 3. Configuring ret-sync * một bộ của các plugin giúp đồng bộ hóa phiên bản gỡ lỗi với bộ tháo rời Đầu tiên ta sẽ tạo file `.sync` có nội dung sau: ``` [INTERFACE] host=127.0.0.1 port=9100 ``` Sau đó copy file vừa tạo dán vào thư mục `C:\Users\IEUser\` in our Debugger\_VM Tiếp theo là cấu hình file `.sync` đối với ghidra: ``` [INTERFACE] host=127.0.0.1 port=9100 [ALIASES] ntoskrnl.exe=ntkrnlmp.exe ``` Lưu file này vào thư mục `name_project.rep/` Tiếp theo .... Thêm extension vào ghidra:

Sau đó ta nhận được cửa sổ -> click on the Add Extension

lựa chọn phiên bản phù hợp với phiển bản mình cài đặt nhé (2)

Lưu ý tích vào mục retsync -> sau đó nhấn ok -> restart lại ghidra

Tiếp theo để lắng nghe từ winDbg ta click chọn RetSyncPlugin rồi nhấn shortcut: Alt + S để lắng nghe:

Tiếp theo ta qua WinDbg: sử dụng 1 số câu lệnh sau: ``` .load sync !sync ba e 1 nt!NtReadFile g ``` Hoặc ta có thể tạo file dbg-preg.cmd: ``` $$ automatically start ret-sync .load sync !sync $$ reload symbols so bps are actually set .reload /f nt $$ba e 1 nt!NtReadFile $$ show them to make sure everything is sane $$bl $$ let it go :) g ``` Sau đó có thể thay đổi file để mở auto của windbg như sau: ``` "C:\Users\IEUser\AppData\Local\Microsoft\WindowsApps\WinDbgX.exe" /k net:port=50000,key=a.b.c.d -c "$$>< dbg-prep.cmd" ``` * Lưu ý các file này phải cùng một thư mục nhé...

### 4. Configuring Visual Studio & SSH #### Đối với Target VM - linux subsystem * run ubuntu app (run ubuntu or bash in cmd) * run ssh service `sudo service ssh start`

#### Visual Studio build test Build a project on the Debugger VM: `build.bat hello` (file `build.bat` lấy từ nguồn của khóa học (6)) - Built binary will be auto-copied to the Target VM desktop. Run from the console on Target VM: ```shell C:\Users\IEUser\Desktop\HelloWorld_lab.exe ``` #### env.bat ```batch @echo off echo Setting persistent environment variables... setx SCP_OVERRIDE 0 REM SCP_REMOTE_IP: ip của Target_VM setx SCP_REMOTE_IP 192.168.92.131 REM SCP_REMOTE_USER: wsl username setx SCP_REMOTE_USER user REM SCP_REMOTE_PATH: path to the windows desktop in the wsl context setx SCP_REMOTE_PATH /mnt/c/Users/IEUser/Desktop REM SCP_PRE_DELETE: nếu ta cần xóa một tập tin trước khi thực hiện sao chép: REM nó sẽ hữu ích khi làm việc với shared folders. Ex:"yes" setx SCP_PRE_DELETE "" REM Second set lets us call from build.bat if user forgot to reboot set SCP_OVERRIDE=0 set SCP_REMOTE_IP=192.168.92.131 set SCP_REMOTE_USER=user set SCP_REMOTE_PATH=/mnt/c/Users/IEUser/Desktop set SCP_PRE_DELETE="" echo Done. Now please reboot your machine so the environment variables are taken into account. ``` Cài đặt phần mềm PuTTY (bằng đường link mục 3) Tiếp theo thiết lập PuTTY: * Đầu tiên là đặt Host Name (or IP address)

* Tiếp theo thiết lập user:

* Tiếp đến chèn file private key for authentication:

* Nội dung file private keys ``` PuTTY-User-Key-File-2: ssh-rsa Encryption: none Comment: rsa-key-20191118 Public-Lines: 6 AAAAB3NzaC1yc2EAAAABJQAAAQEAqmWoIsmfCMLLDN78r+1j2Cy2j2C/cPk5iCEc KGv/vWzxi2YfzKh7Ain234DqIK8otp/INoRglN79ENPHhnM8A9elQJrI7LPYOUsw Vqz+3/baZVZ8y1k/g+V5hTemhm6iSC2H248a3kU0zgKnh3nN31Yv6ui7DwcaKbVI nZnAsLStLD74/Tu1WRVb1Kg84fobtMgnIrXINdTuKKm5Bme8RtZvOfpSLbqjd3Zc vpgqTYJJw9AyZDITPLE0swMdt/zs/BQnlz6P5/8PmEqDo/hBRmKOd4jFwUIy7z/C dE3ZwlsZ6sR+nq5YF+hnVp+qGIFHAHZTOl6QC23AfEJqUCu3VQ== Private-Lines: 14 AAABABJr2tNUETFhKrVIigUua6iq403FRSD4WT8mLI6/kUTpLt6jQbVCpYOxgnkH BI3pbC9rOD0+vlVIig+oMT73s3YJeaYekkMaXJCSgcQuYL5EM0k5yE1Vwa1k6orx Qm9l6AfNkiWS7iXd997rh7uedx8QPIgZKPq0qOHqFbAsTC7HPqnqCPp0vKWrlxpW pBDIrAzzqRrsJL+GDhvnYFkmmk5TrEOojEpaSWNpgsG8T8wEX0D9zUuqHqi9jNCF oOzoCxVjhiIY9LyVrhvRtjfi95lq/23klRufFO/vLyDPIOE9kORga9AMrbXp4Zzu F1PjIt5QDFMXDkYm7vjxoc/i/p0AAACBAP1cvnNV4mlQYUk8Ll+h/IA/womcIrWn YAC465SmMDjBfIbL2T6nwOeHTMXTPJVaOkhfcUg1bf/INW/BxV1SjP8G5kCHzNi0 1Z4tBNKHwFy8iuat7MnPW9PWZT26OQtUVGgpUDua0/bsQLFjX8IriyCU/h8CHRUX 5mNxuabT4lOfAAAAgQCsK8uymqF7DEDc5NhvpL1j/TfBTYq+otzq7aHpJ5JwMNPu /EoB1jaVGJmda02y1B+QSzM/Mt5326JuaGmv1g2Hb1VOVArfYsDm6fHbl0RyPrnt ERmYsmbdbXYQypjeSo01gPhdv2UaWPRPB6WQJQEj4xPCN6w26p86i82quVWwiwAA AIAxpJ30O5NruoKszcG0DkGu0GeCEtWNXqQhPNPgpTdEa5S/uHqNqVhOoN5CcUiK xvFtS9UYlBbXzi2RdqNW/8BBvoMhDtPJJJnXDOVHK0HXCcU0qJVN4olXKIAfisyX 5zgWozSNh6Pyxwb8FAqkKY0i4RoMLc/jbNP5p6WRwIQPtw== Private-MAC: 24121ffaf55b25c6785fa3f2996a741fd7717239 ``` * Sau đó nhấn Open

* Tiếp theo nếu kết nối được là xong. Còn nếu gặp lỗi qua lại máy target\_VM ta thiết lập lại như sau như câu lệnh thao tác trong ubuntu của wsl nhé: ``` sudo ssh-keygen -A mkdir ~/.ssh/ vim ~/.ssh/authorized_keys chmod 700 ~/.ssh chmod 600 ~/.ssh/authorized_keys sudo service ssh start ``` * và nội dung của file `authorized_keys` như sau: ``` ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEAqmWoIsmfCMLLDN78r+1j2Cy2j2C/cPk5iCEcKGv/vWzxi2YfzKh7Ain234DqIK8otp/INoRglN79ENPHhnM8A9elQJrI7LPYOUswVqz+3/baZVZ8y1k/g+V5hTemhm6iSC2H248a3kU0zgKnh3nN31Yv6ui7DwcaKbVInZnAsLStLD74/Tu1WRVb1Kg84fobtMgnIrXINdTuKKm5Bme8RtZvOfpSLbqjd3ZcvpgqTYJJw9AyZDITPLE0swMdt/zs/BQnlz6P5/8PmEqDo/hBRmKOd4jFwUIy7z/CdE3ZwlsZ6sR+nq5YF+hnVp+qGIFHAHZTOl6QC23AfEJqUCu3VQ== rsa-key-20191118 ``` * Rồi sau đó ta resart lại và vào lại ubuntu wsl rồi thực hiện lại câu lệnh sau: \ `sudo service ssh start` Kết quả nhận được thế này là thành công:

Tiếp theo khởi động lại `build.bat hello` -> sau đó ta vào Visual Studio -> rồi build ta nhận được:

Kết quả nhận được ở máy ảo Target\_VM:

Lưu ý về bài lap: khi thực hiện debug nhớ sử dụng các câu lệnh đã được biết để có thể thêm thông tin như `!process`, `.process`, ... *** #### Một số link cần và nguồn tải các tool và tài liệu: 1. (Ghidra, lưu ý về phiên bản để tải sao cho phù hợp với cái minh mong muốn) 2. (ret-sync là một bộ của các plugin giúp đồng bộ hóa phiên bản gỡ lỗi với bộ tháo rời. Nó giúp tận dụng tốt nhất từ cả tĩnh và động) 3. (PuTTY - là một giả lập thiết bị đầu cuối phổ biến, nó giúp kết nối với máy tính từ xa trong khi cung cấp các phương tiện truyền tệp, thao tác dữ liệu, v.v. 4. (Phiên bản win10 MSEdge VMware, nó là gói cài sẵn hệ điều hành win10 với VMware. 5. (Python 3.8) 6. (trong này gồm tài liệu khóa học Advanced WinDbg kèm theo các tool và hướng dẫn cài đặt để sử dụng phục vụ phần Advanced) --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://viettaliii.gitbook.io/home/education/tools/windbg.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.