演示环境:
主机:win10
目标虚拟机:win7
用得到的工具: IDA,0D,ret-sync插件
IDA远程调试虚拟机内可执行程序
把IDA的dbgsrv目录下的win32_remote.exe拷贝到虚拟机里。该程序默认获取的是系统第一个适配器的IP地址。
我虚拟机里安装了有三个网络适配器。即便禁用网络适配器也没用,win32_remote.exe默认获取的是系统第一个适配器的IP地址,所以其他两个必须通过设备管理器卸载。
通过设备管理器卸载其他的网络适配器后,只保留一个本地连接。虚拟机设置为NAT模式。
此时ipconfig下只有一个本地连接,且在cmd窗口中第一个显示。
这个时候运行win32_remote.exe,就会正确地开启myip的服务器地址。
IDA——Debugger——Run——Remote Windows Debugger呼出此窗口,连接虚拟机IP地址。
虚拟机里的win32_remote.exe会提示Accept connect from…表示连接成功(上图有)。
在主机保留idb文件之后,IDA调试器就开启了。这样可以调试虚拟机里的病毒程序。对于分析加强壳的病毒和会严重影响主机正常运行(比如关机)的病毒,用这种调试方法事半功倍。
具体应用可以参考https://blog.csdn.net/m0_37552052/article/details/103721403
https://blog.csdn.net/m0_37552052/article/details/104550020
IDA远程双机调试同步OD信息
下载ret-sync插件,这是一款非常好用的调试器同步插件。可以做到OD,winb=dbg,X64动态调试与IDA静态分析的同步。
该插件的使用过程中一定要注意:
1.该插件的IDA最低版本是IDA7.2。
2.IDA7.2的IDApython版本适用于python-2.7.10.amd64.msi该版本。
3.使用插件前要先Ctrl+W保存下IDB文件才能在插件窗口看到ret-sync
ret-sync同步静态汇编指令与动态汇编指令。dsync同步静态伪代码与动态汇编指令。
插件成功同步调试后下方会有句提示。
实体机效果图如上。
但是IDA放在主机,x32dbg在虚拟机里,即便配置.sync文件仍然同步失败,双机调试的同步化失败的具体原因还需要研究。