如果我们假设我们只有二进制文件,我们可以使用 windbg 进入程序集并查看发生了什么。由于 Windows 来宾以完全模拟模式运行,因此在来宾中进行跟踪应该很简单。
如果我们想跟踪虚拟化层(即hypervisor)发生了什么,那就有点困难了。这取决于我们在哪种机器上运行。如今,所有机器都是 64 位并启用了 VMX,这允许管理程序即时拦截客户指令,因为处理器虚拟化是在硬件中实现的。
由于这只是客户进入虚拟机管理程序的陷阱,因此几乎不可能知道客户何时进入虚拟机管理程序以及何时返回。但是,通过跟踪管理程序中的任何代码,我们可能不会取得太多成就。
在启用 VMX 的机器中,只有页表写入更改和 IOPL 更改将转到管理程序。其他一切都由客人自己处理。
对于所有实际应用调试windbg应该没问题。
我们可以使用 WinDbg 在来宾操作系统上跟踪正在运行的进程(.exe)及其指令吗?
请对此提供帮助...我真的很感谢您在这方面的时间..谢谢.. :)