按照功能, 可以把元命令分成如下几类.

• 显示和设置调试会话和调试器选项.
• 用于符号选项的.symopt- Set Symbol Options
• 用于符号路径的.sympath- Set Symbol Path, 和.symfix- Set Symbol Store Path.
• 用于程序源文件的.srcpath- Set Source Path, .srcnoisy- Noisy Source Loading, .srcfix- Use Source Server
• 用于扩展命令模块路径的.extpath- Set Extension Path
• 用于匹配扩展命令的.extmatch- Display All Matching Extensions
• 用于可执行文件的.exepath- Set Executable Path
• 设置反汇编选项的.asm- Change Disassembly Options
• 控制表达式评估器的.expr- Choose Expression Evaluator
• 控制调试会话或者调试目标.
• 重新开始调试会话的.restart- Restart Kernel Connection(Kernel Mode) 或 Restart Target Application(User Mode)
• 放弃用户态调试目标(进程)的.abandon- Abandon Process
• 创建新进程的.create- Create Process
• 附加到存在进程的.attach- Attach to Process
• 打开转储文件的.opendump- Open Dump File
• 分离调试目标的.detach- Detach from Process
• 用于杀掉进程的.kill- Kill Process
• 管理扩展命令模块
• 加载模块的.load- Load Extension DLL
• 卸载模块.unload- Unload Extension DLL和.unloadall- Unload All Extension DLLs
• 显示已加载模块的.chain- List Debugger Extensions
• 管理调试器日志文件
• 显示信息 .logfile- Display Log File Status
• 打开 .logopen- Open Log File
• 追加 .logappend- Append Log File
• 关闭 .logclose- Close Log File
• 远程调试
• 用于启动remote.exe服务的.remote- Create Remote.exe Server
• 用于启动调试引擎服务器的.server- Create Debugging Server
• 列出可用服务器的.servers- List Debugging Servers
• 用于向远程服务器发送文件的.send_file- Send File
• 用于结束远程进程服务器的.endpsrv- End Process Server
• 用于结束引擎服务器的.endsrv- End Debugging Server
• 控制调试器
• 让调试器睡眠一段时间的.sleep- Pause Debugger
• 唤醒处于睡眠状态的调试器的.wake- Wake Debugger
• 启动另一个调试器来调试当前调试器的.dbgdbg- Debug Current Debugger
• 编写命令程序
• 包括一系列类似C语言关键字的命令, 如
• .if, .else, .elsif, .foreach, .do, .while. .continue, .catch, .break, .continue, .leave, .printf, .block. 在<软件调试>一书第30章的第18节有介绍命令程序的编写方法.
• 显示或者转储调试目标数据
• 产生转储文件的.dump- Create Dump File
• 将原始内存数据写到文件的.writemem- Write Memory to File
• 显示调试会话时间的.time- Display System Time
• 显示线程时间的.ttime- Display Thread Times
• 显示任务列表的.tlist- List Process IDs
• 以不同格式显示数字的.formats- Show Number Formats
• 可以列出所有元命令和每个命令的简单说明的.help- Meta-Command Help

 1、选（文件→新建→项目→Visual C++项目→win32→win32控制台项目）创建一个

填写上名称event然后按确定
在弹出的win32应用程序向导里 选应用程序设置 →附加选项 勾选空项目→完成。

二 、  选项目菜单→添加现有项→添加所有驱动相关的*.h,*.c,*.cpp,*.rc之类的文件。

  1、在可执行文件目录中添加：

    D:/WINDDK/3790.1830/BIN/X86   //VS2003(没测),VS2005(没测),VS2008内不需要

  2、在包含文件目录添加如下路径

    D:/WINDDK/3790.1830/inc/wxp
    D:/WINDDK/3790.1830/inc/crt    (可选)
    D:/WINDDK/3790.1830/inc/ddk/wxp
    D:/WINDDK/3790.1830/inc/ddk/wdm/wxp

  3、在库文件目录中添加：

    D:/WINDDK/3790.1830/LIB/WXP/I386

新建项目配置check //必选

(一)C/C++属性设置

   常规选项卡

1调试信息格式(C7兼容(/Z7) //可选

2警告等级    （2级(/W2)  //可选

3将警告视为错误(是(/wx)  //可选

   优化选项卡

1优化(禁用/Od)          //可选

  预处理器

    预处理器定义：WIN32=100;_X86_=1;WINVER=0x501;DBG=1   //必选

  代码生成

    启用最小重新生成：否   //可选

    基本运行时检查：默认值//可选

    运行时库：多线程调试(/MTd) 或 多线程(/MT)  //建议选

    缓冲区安全检查：否   //可选

 (可避免出现LINK : error LNK2001: 无法解析外部符号__security_cookie)

  高级

 调用约定__stdcall(/Gz)   //必选

 常规：

 输出文件：$(OutDir)/$(ProjectName).sys //必选

 启用增量链接：否(/INCREMENTAL:NO) //建议选上

忽略导入库：是//可选( 设置为此值时，必须在附加库目录中加：D:/WINDDK/3790.1830/lib/wxp/i386 ，这样项目就不会依赖IDE环境的设置)   否( 设置为此值时，将依赖IDE 的环境的相关设置)

 输入：

附加依赖项ntoskrnl.lib Hal.lib wdm.lib wdmsec.lib wmilib.lib ndis.lib MSVCRT.LIB LIBCMT.LIB //必选其12

//NT式驱动ntoskrnl.lib  WDM式驱动  wdm.lib
 ( HalXXX函数在Hal.lib，WmiXXX函数在wmilib.lib ，NdisXXX函数在ndis.lib )
 ( 必要时需要增加微软的标准库MSVCRT.LIB MSVCRTD.LIB(调试库) LIBCMT.LIBIBCMTD.LIB(调试库) )
 ( 如果源码中有source 文件，那么该文件的TARGETLIBS 字段会列出该项目需要的库)

    忽略所有默认库：是(/NODEFAULTLIB)

 清单文件：

   启用用户账户控制（UAC） 否//必选 不然会出现 >LINK : fatal error LNK1295: “/MANIFESTUAC”与“/DRIVER”规范不兼容；链接时不使用“/MANIFESTUAC” 

 调试：

    生成调试信息 是(/DEBUG) //可选

    生成映像文件：是(/MAP)  //可选

    映像文件名：$(TargetDir)$(TargetName).map //可选

  系统(System)：

    子系统:控制台(/SUBSYSTEM:CONSOLE) //必选

    堆栈保留大小：4194304 //可选

    堆栈提交大小：4096    //可选

    驱动程序:   驱动程序(/DRIVER) //必选 

    高级：

入口点：DriverEntry   //必选

随机基址:默认值    //必选 不然会出现 1>G:/event2008/check/event2008.exe : fatal error LNK1295: “/DYNAMICBASE”与“/DRIVER”规范不兼容；链接时不使用“/DYNAMICBASE”

数据执行保护(DEP): 默认值//必选 不然会出现G:/event2008/check/event2008.sys : fatal error LNK1295: “/NXCOMPAT:NO”与“/DRIVER”规范不兼容；链接时不使用“/NXCOMPAT:NO”

设置效应和：是(/RELEASE) //可选

基址：0x10000          //建议选上

  命令行”->附加选项：

    添加开关：/SECTION:INIT,D /IGNORE:4078 //建议填上

      可以避免以下错误提示
      LINK : warning LNK4078: 找到多个“INIT”节，它们具有不同的属性(E2000020)
      LINK : error LNK2001: 无法解析的外部符号__load_config_used

五．编译，链接。

一些要修改DDK例子源码方能成功的问题，目前不知道什么选项可以不改：
    源码中的关键字try 要改为__try , except 要改为__except .

_______________________________
　　

 Dos部首
　　

　　

 PE文件标志
　　

　　

 映像文件头
　　

　　

 映像可选头
　　

　　

 节表
　　

　　

 代码区段
　　

　　

 数据区段
　　

　　

 输入表
　　

　　

 输出表
　　

　　

 重定位表区段
　　

　　

　　.　　　　　　　　　　 

　　

　　

　　

根据这个结构表IMAGE_OPTIONAL_HEADER下面紧接着就是区块表和各种区块，也可以叫做节表和节英文是SECTION。

节表是由一大堆的IMAGE_SECTION_HEADER排列成的一个数据结构。其数量由IMAGE_NT_HEADERS结构中的FileHeader.NumberOfSections成员来决

定。

IMAGE_SECTION_HEADER的结构如下

typedef struct _IMAGE_SECTION_HEADER
{
BYTE Name[IMAGE_SIZEOF_SHORT_NAME]; // 节表名称,如“.text”
//IMAGE_SIZEOF_SHORT_NAME=8
union
{
DWORD PhysicalAddress; // 物理地址
DWORD VirtualSize; // 真实长度，这两个值是一个联合结构，可以使用其中的任何一个，一
// 般是取后一个
} Misc;
DWORD VirtualAddress; // 节区的 RVA 地址
DWORD SizeOfRawData; // 在文件中对齐后的尺寸
DWORD PointerToRawData; // 在文件中的偏移量
DWORD PointerToRelocations; // 在OBJ文件中使用，重定位的偏移
DWORD PointerToLinenumbers; // 行号表的偏移（供调试使用地）
WORD NumberOfRelocations; // 在OBJ文件中使用，重定位项数目
WORD NumberOfLinenumbers; // 行号表中行号的数目
DWORD Characteristics; // 节属性如可读，可写，可执行等 } IMAGE_SECTION_HEADER, *PIMAGE_SECTION_HEADER;

Name 里面存的是区块的名字

.text code 什么的就是放代码用的

.data 就是放数据，已经初始化好的

.idata 就是输入表 ，很多加壳程序会修改输入表，hook api 在程序运行api时，让壳取得一定时间的权限来反跟踪，脱壳的一大步骤就是还原输入表。

.edata 输出表

.bbs 未初始化的数据

插入自己的代码。

Characteristics 表示该区块的属性 可读啊 可写啊什么的

//　　　IMAGE_SCN_TYPE_REG　　　　　　　　 0x00000000　// Reserved.
//　　　IMAGE_SCN_TYPE_DSECT　　　　　　　 0x00000001　// Reserved.
//　　　IMAGE_SCN_TYPE_NOLOAD　　　　　　　0x00000002　// Reserved.
//　　　IMAGE_SCN_TYPE_GROUP　　　　　　　 0x00000004　// Reserved.
#define IMAGE_SCN_TYPE_NO_PAD　　　　　　　0x00000008　// Reserved.
//　　　IMAGE_SCN_TYPE_COPY　　　　　　　　0x00000010　// Reserved.

#define IMAGE_SCN_CNT_CODE　　　　　　　　 0x00000020　// Section contains code.
　　　　　　　　　　　　　　　　　　　　　　　　　　　 //区段包含代码
#define IMAGE_SCN_CNT_INITIALIZED_DATA　　 0x00000040　// Section contains initialized data.
　　　　　　　　　　　　　　　　　　　　　　　　　　　 //区段包含已初始化数据
#define IMAGE_SCN_CNT_UNINITIALIZED_DATA　 0x00000080　// Section contains uninitialized data.
　　　　　　　　　　　　　　　　　　　　　　　　　　　 //区段包含未初始化数据
#define IMAGE_SCN_LNK_OTHER　　　　　　　　0x00000100　// Reserved.
#define IMAGE_SCN_LNK_INFO　　　　　　　　 0x00000200　// Section contains comments
　　　　　　　　　　　　　　　　　　　　　　　　　　　 // or some other type of information.
//　　　IMAGE_SCN_TYPE_OVER　　　　　　　　0x00000400　// Reserved.
#define IMAGE_SCN_LNK_REMOVE　　　　　　　 0x00000800　// Section contents will not become part of image.
#define IMAGE_SCN_LNK_COMDAT　　　　　　　 0x00001000　// Section contents comdat.
//　　　　　　　　　　　　　　　　　　　　 0x00002000　// Reserved.
//　　　IMAGE_SCN_MEM_PROTECTED - Obsolete 0x00004000
#define IMAGE_SCN_NO_DEFER_SPEC_EXC　　　　0x00004000　// Reset speculative exceptions handling bits
　　　　　　　　　　　　　　　　　　　　　　　　　　　 // in the TLB entries for this section.
#define IMAGE_SCN_GPREL　　　　　　　　　　0x00008000　// Section content can be accessed relative to GP
#define IMAGE_SCN_MEM_FARDATA　　　　　　　0x00008000
//　　　IMAGE_SCN_MEM_SYSHEAP　- Obsolete　0x00010000
#define IMAGE_SCN_MEM_PURGEABLE　　　　　　0x00020000
#define IMAGE_SCN_MEM_16BIT　　　　　　　　0x00020000
#define IMAGE_SCN_MEM_LOCKED　　　　　　　 0x00040000
#define IMAGE_SCN_MEM_PRELOAD　　　　　　　0x00080000

#define IMAGE_SCN_ALIGN_1BYTES　　　　　　 0x00100000　//
#define IMAGE_SCN_ALIGN_2BYTES　　　　　　 0x00200000　//
#define IMAGE_SCN_ALIGN_4BYTES　　　　　　 0x00300000　//
#define IMAGE_SCN_ALIGN_8BYTES　　　　　　 0x00400000　//
#define IMAGE_SCN_ALIGN_16BYTES　　　　　　0x00500000　// Default alignment if no others are specified.
#define IMAGE_SCN_ALIGN_32BYTES　　　　　　0x00600000　//
#define IMAGE_SCN_ALIGN_64BYTES　　　　　　0x00700000　//
#define IMAGE_SCN_ALIGN_128BYTES　　　　　 0x00800000　//
#define IMAGE_SCN_ALIGN_256BYTES　　　　　 0x00900000　//
#define IMAGE_SCN_ALIGN_512BYTES　　　　　 0x00A00000　//
#define IMAGE_SCN_ALIGN_1024BYTES　　　　　0x00B00000　//
#define IMAGE_SCN_ALIGN_2048BYTES　　　　　0x00C00000　//
#define IMAGE_SCN_ALIGN_4096BYTES　　　　　0x00D00000　//
#define IMAGE_SCN_ALIGN_8192BYTES　　　　　0x00E00000　//
// Unused　　　　　　　　　　　　　　　　　0x00F00000

#define IMAGE_SCN_LNK_NRELOC_OVFL　　　　　0x01000000　// Section contains extended relocations.
#define IMAGE_SCN_MEM_DISCARDABLE　　　　　0x02000000　// Section can be discarded.
　　　　　　　　　　　　　　　　　　　　　　　　　　　 //该区段可丢弃
#define IMAGE_SCN_MEM_NOT_CACHED　　　　　 0x04000000　// Section is not cachable.
#define IMAGE_SCN_MEM_NOT_PAGED　　　　　　0x08000000　// Section is not pageable.
#define IMAGE_SCN_MEM_SHARED　　　　　　　 0x10000000　// Section is shareable.
　　　　　　　　　　　　　　　　　　　　　　　　　　　 //该区段可共享
#define IMAGE_SCN_MEM_EXECUTE　　　　　　　0x20000000　// Section is executable.
　　　　　　　　　　　　　　　　　　　　　　　　　　　 //该区段可执行
#define IMAGE_SCN_MEM_READ　　　　　　　　 0x40000000　// Section is readable.
　　　　　　　　　　　　　　　　　　　　　　　　　　　 //该区段可读
#define IMAGE_SCN_MEM_WRITE　　　　　　　　0x80000000　// Section is writeable.
　　　　　　　　　　　　　　　　　　　　　　　　　　　 //该区段可写

由于我比较懒就只读了Name这个成员，有些加壳软件会修改Name这个字段使读出来的东西乱七八糟，比如UPX的压缩壳，会把Name字段改成UPX0，UPX1这样

#include "windows.h"
#include "stdio.h"

int main(int argc, char* argv[])
{
FILE *p;
int i;
unsigned long Signature;
IMAGE_FILE_HEADER myfileheader;
IMAGE_DOS_HEADER mydosheader;
IMAGE_OPTIONAL_HEADER myoptionalheader;
IMAGE_SECTION_HEADER mysectionheader;

p = fopen("test.exe","r+b");
if(p == NULL)return -1;

fread(&mydosheader,sizeof(mydosheader),1,p);
fseek(p,mydosheader.e_lfanew,SEEK_SET);
fread(&Signature,sizeof(Signature),1,p);

fseek(p,mydosheader.e_lfanew+sizeof(Signature),SEEK_SET);//指向IMAGE_FILE_HEADER结构的偏移
fread(&myfileheader,sizeof(myfileheader),1,p);

fseek(p,mydosheader.e_lfanew+sizeof(Signature)+sizeof(myfileheader)+sizeof(myoptionalheader),SEEK_SET);
printf("Signature : %04X\n",Signature);
printf("IMAGE_SECTION_HEADER 结构:\n");
for(i=0;i<myfileheader.NumberOfSections;i++){
fread(&mysectionheader,sizeof(mysectionheader),1,p);
printf("Name : %s\n",mysectionheader.Name);
}
fclose(p);
return 0;
}

MS-DOS MZ header 的结构是这样的

MS-DOS MZ header

typedef struct _IMAGE_DOS_HEADER {      // DOS .EXE header
    WORD   e_magic;                     // Magic number
    WORD   e_cblp;                      // Bytes on last page of file
    WORD   e_cp;                        // Pages in file
    WORD   e_crlc;                      // Relocations
    WORD   e_cparhdr;                   // Size of header in paragraphs
    WORD   e_minalloc;                  // Minimum extra paragraphs needed
    WORD   e_maxalloc;                  // Maximum extra paragraphs needed
    WORD   e_ss;                        // Initial (relative) SS value
    WORD   e_sp;                        // Initial SP value
    WORD   e_csum;                      // Checksum
    WORD   e_ip;                        // Initial IP value
    WORD   e_cs;                        // Initial (relative) CS value
    WORD   e_lfarlc;                    // File address of relocation table
    WORD   e_ovno;                      // Overlay number
    WORD   e_res[4];                    // Reserved words
    WORD   e_oemid;                     // OEM identifier (for e_oeminfo)
    WORD   e_oeminfo;                   // OEM information; e_oemid specific
    WORD   e_res2[10];                  // Reserved words
    LONG   e_lfanew;                    // File address of new exe header
  } IMAGE_DOS_HEADER, *PIMAGE_DOS_HEADER;

其中比较关键的成员是这个 e_lfanew 它指向了PE文件头在PE文件中的相对虚拟地址RAV(Relative Virtual Addresses)，e_magic的值应该等于 0x5A4D 是MS-DOS MZ header的标志 MZ好像是个程序员名字的缩写 其他成员基本没啥大用，一些加壳软件会修改它的成员为自己的节腾出空间，或者在添加节形式感染时节表尾部的空隙不够写入一个新的解表结构的时候把IMAGE_DOS_HEADE 和 IMAGE_NT_HEADER 融合。

可以自己写一个小程序来输出一下IMAGE_DOS_HEADE

IMAGE_DOS_HEADE这个结构体定义在windows.h中

系统加载PE格式的文件时，会先加载IMAGE_DOS_HEADE这个结构体，再根据结构体里的e_lfanew提供的相对偏移找到PE文件头。

用c语言可以直接读出IMAGE_DOS_HEADE这个结构体，下面开始写。

从文件的开始位置读取IMAGE_DOS_HEADE结构体

fread(&mydosheader,sizeof(mydosheader),1,p);

fseek(p,mydosheader.e_lfanew,SEEK_SET);

fread(&sig,4,1,p);

IMAGE_NT_SIGNATURE 的值是 PE\0\0

IMAGE_DOS_SIGN

ATURE 的值是 MZ

具体的定义可以自己去windows.h中看

　if((mydosheader.e_magic ==IMAGE_DOS_SIGNATURE) &&
　　　　　　　　(sig == IMAGE_NT_SIGNATURE))
　　　　　　　printf("有效的PE文件/n");
　　　　else
　　　　　　printf("无效的PE文件/n");
　　　　return 0;

#include "windows.h"
#include "stdio.h"

int main(int argc, char* argv[])
{
　　　　FILE *p;
　　　　IMAGE_DOS_HEADER mydosheader;
　　　　unsigned long sig;

　　　　p = fopen("test1.exe","r+b");
　　　　if(p == NULL)return -1;

　　　　fread(&mydosheader,sizeof(mydosheader),1,p);
　　　　fseek(p,mydosheader.e_lfanew,SEEK_SET);
　　　　fread(&sig,4,1,p);
　　　　fclose(p);

　　　　printf("IMAGE_DOS_HEADER dump:/n");
　　　　printf("e_magic　 : %04x/n",mydosheader.e_magic);
　　　　printf("e_cblp　　: %04x/n",mydosheader.e_cblp);
　　　　printf("e_cp　　　: %04x/n",mydosheader.e_cp);
　　　　printf("e_crlc　　: %04x/n",mydosheader.e_crlc);
　　　　printf("e_cparhdr : %04x/n",mydosheader.e_cparhdr);
　　　　printf("e_minalloc: %04x/n",mydosheader.e_minalloc);
　　　　printf("e_maxalloc: %04x/n",mydosheader.e_maxalloc);
　　　　printf("e_ss　　　: %04x/n",mydosheader.e_ss);
　　　　printf("e_sp　　　: %04x/n",mydosheader.e_sp);
　　　　printf("e_csum　　: %04x/n",mydosheader.e_csum);
　　　　printf("e_ip　　　: %04x/n",mydosheader.e_ip);
　　　　printf("e_cs　　　: %04x/n",mydosheader.e_cs);
　　　　printf("e_lfarlc　: %04x/n",mydosheader.e_lfarlc);
　　　　printf("e_ovno　　: %04x/n",mydosheader.e_ovno);
　　　　printf("e_res[0]　: %04x/n",mydosheader.e_res[0]);
　　　　printf("e_oemid　 : %04x/n",mydosheader.e_oemid);
　　　　printf("e_oeminfo : %04x/n",mydosheader.e_oeminfo);
　　　　printf("res2[0]　 : %04x/n",mydosheader.e_res2[0]);
　　　　printf("lfanew　　: %08x/n",mydosheader.e_lfanew);


　　　　if((mydosheader.e_magic ==IMAGE_DOS_SIGNATURE) &&
　　　　　　　　(sig == IMAGE_NT_SIGNATURE))
　　　　　　　printf("有效的PE文件/n");
　　　　else
　　　　　　printf("无效的PE文件/n");
　　　　return 0;
}

最后附上参考文章的地址

http://xue23.blog.163.com/blog/static/9793442005431142120/

http://bbs.fishc.com/home.php?mod=space&uid=9&do=blog&id=558

Peering Inside the PE.pdf

http://xue23.blog.163.com/blog/static/9793442005431142120/

安裝VMware Workstation 6.0, WinDbg。

具体步骤如下：

1 设置 VMware 的虚拟com

1.1 运行 VMware ，点击 "Edit virtual machine settings"

1.2 点击 "Add..." 来运行 VMware 的 Hardware Wizard

1.3 选择 "Serial Port"，点 "下一步"

1.4 选择 "Output to named pipe",点 "下一步"

1.5 第一框里保持默认的 \\.\pipe\com_1 <==== 此可為任何名
第二框里选"This end is the server."
第三框里选"The other end is an application."
选中 "Connect at power on"
然后点击 "Advanced>>"

1.6 选中 "Yield CPU on poll"（VMware Support 中提到了这一点），然后点完成。

1.7 这样就完成了虚拟com的设置。

1.8 重新启动 VM。

2 设置 VMware 虚拟出来的 guest os

现在 power on 虚拟出来的 guest os

2.1 设置boot.ini

在c:\下，可以找到boot.ini，可以用记事本打开它。我们需要在 guest os 的启动项上加些参数，才能够使用WinDbg调试它。我们可以在现有的行后面直接加参数，不过强烈推荐复制一个新行，在新行的后面加参数。这样在调试启动有问题的时候，我们可以方便的换回原来的启动方式。下面就是我改好的boot.ini。
其中 " multi(0)disk(0)rdisk(0)partition(1)\WINNT="Microsoft Windows XP Professional" /fastdetect "
是原来的行。
" multi(0)disk(0)rdisk(0)partition(1)\WINNT="Microsoft Windows XP Professional - debug" /fastdetect /noguiboot /debug /debugport=com1 /baudrate=115200 " 新加為用于 WinDbg 调试的行。

------------------------------------------------------------------------------------------

[boot loader]
timeout=10
default=multi(0)disk(0)rdisk(0)partition(1)\WINNT
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINNT="Microsoft Windows XP Professional" /fastdetect
multi(0)disk(0)rdisk(0)partition(1)\WINNT="Microsoft Windows XP Professional - debug" /fastdetect /debug /debugport=com1 /baudrate=115200

-------------------------------------------------------------------------------------------

这里还要注意的是,timeout不要为0，否则直接启动默认的项。新行后面加上了参数 /debug /debugport=com1 /baudrate=115200 ，可以看到 debugport=com1 ，baudrate=115200 。参数的具体作用，可以参考 WinDbg 的帮助文件。

2.2 设置com1端口的速度
在 guest os 的设备管理器中把com1端口的速度也就是"每秒位数"项，设为和上面一样的115200。

4 推荐的操作顺序

4.1 首先运行 VMware ，启动 Guest OS ，到系统启动选择，选择 "Microsoft Windows XP Professional - debug" 项，先不要按回车。

4.2 通过刚才设置好的快捷方式运行WinDbg。

4.3 在 Guest OS 中选择 "Microsoft Windows XP Professional - debug" 项，按回车。

4.4 稍等片刻，就连接上了。如果很长时间没有连接上的话，可以按 WinDbg 菜单中的 "Debug"->"Kernel Connection"->"Resynchronize"。 <=== 如有用命令選項 此應不會發生

4.5 最后按 WinDbg 菜单中的 "Debug"->"Break" ，你就可以向 WinDbg 下命令了。

? 其他
?.1 VMware Support 中还提到了可以通过修改虚拟机的配置文件来改变虚拟串口的速度，有兴趣的话可以参考 VMware Support 中的方法。
?.2 WinDbg 的菜单项 "View"->"Show Version" 可以看到一些相关信息。

参考
Driver Debugging with WinDbg and VMWare http://silverstr.ufies.org/lotr0/windbg-vmware.html
VMware Support 相关部分 http://www.vmware.com/support/ws3/doc/ws32_devices3.html

一、WDK的介绍、下载、安装及配制

1、关于WDK

Windows Driver Kit(驱动程序工具包): 是一种完全集成的驱动程序开发系统，它包含 Windows Driver Device Kit (DDK)，用于测试 Windows 驱动程序的可靠性和稳定性，包括：

• Windows Driver Foundation (WDF) 简化了 Windows 驱动程序的开发和支持。
• 头文件重构 （Windows Vista 和更高版本）通过提供更简单的目录结构、避免声明冲突以及对所有支持的 Windows 版本使用单一头文件集，降低头文件的复杂性。
• Installable File Systems (IFS) Kit将头、库、示例以及文档作为 WDK 的一部分分发。
• 验证程序和静态分析工具, （如 PREfast 和 静态驱动程序验证程序）帮助您在编译时查找 bug。

2、下载WDK

曾经下载WDK好像还必须得http://connect.microsoft.com/注册后才能下载，而且下载后还有一句提示：

“提醒：您必须接受附带的许可条款才能使用此软件。不得分发下载软件包。”

所以当时下载的时候还要走一些不得不走的路。不过，今天好像发现WDK能直接下载了

下载地址：http://download.microsoft.com/download/4/A/2/4A25C7D5-EFBE-4182-B6A9-AE6850409A78/GRMWDK_EN_7600_1.ISO

如果不能正常下载，具体操作请见如何下载WDK

3、安装WDK

1. 用虚拟光驱加载下载好的.ISO镜像文件，双击运行，出现下面亲切的画面 
    
2. 接触，出现以下画面，在左侧的树形复选框中选择要安装的组件及工具，建议全部安装，选择好后点击“OK”~~后面的就简单了~ 
    
3. 尔后，一路确定默认即可

二、DDKWzard的介绍、下载、安装及配制

在VS2008IDE中没有提供驱动开发的项目选项，当然可以用普通工程，然后手动在ＶＳ中配制相应的编辑连接以及调试选项，但是如此只来，每次都要重复些复杂的步骤。在http://ddkwizard.assarbad.net/网站上发现了一个很好用的辅助工具DDKWizard，能够方便地对开发环境进行配置，真是适合想我这样懒人啊，工具的作者也自称是因为懒惰才开发此工具，看来“懒惰是推动科技发展的动力”一点不假 。

• DDKwzard安装需要三个文件：DDKWzard主程序：安装VS2008的项目模板ddkwizard_setup.exe
• DDKBUILD.CMD：应该是用VS2008调用WDK编辑编译器的一系列脚本dkbuild_cmd.zip
• DDKBUILD.BAT ：估计也是是用VS2008调用WDK编辑编译器的一系列脚本ddkbuild_bat.zip

1. 安装ddkwizard_setup，默认安装，一路Next点过即可，将DDKBUILD.CMD与DDKBUILD.BAT考到WDK的安装目录，或者其它目录也行，只要在后续的设置就行。如：我将其放在wdk的目录下，如图 
       
    
2. 设置环境变量 
   添加相应的环境变量，如要开发XP系统下的驱动则添加WXPBASE，变量值为WDK的根目录，如图 
   如果为其它系统开发驱动则填写相应的环境变量 
   NT 4.0 ———–NT4BASE

    

   windows2000—-W2KBASE

   windowsXP——-WXPBASE

   windows2003—-WNETBASE

   win7/2008 R2—-W7BASE

3. 打开VS 2008，菜单“工具”->“选项”->左侧“项目和解决方案”->“VC++目录”->右侧“可执行文件”下拉列表->添加一项D:/WINDDK(根据你的实际情况，就是第1步中DDKBUILD.CMD与DDKBUILD.BAT所在的路径)。 
    
    
4. 然后就可以在我们的VS2008中新建项目了，如下图，在Visual C++选项卡中多了DDK Project的项目类型，选择相应的模板添加我们的项目，点击确定 
   
5. 确定后出现DDKWzard的项目创建页面，在“Choose the DDKBUILD you want to use”中选择“ddkbuild.cmd”或者“ddkbuild.bat”，在其下面选择我们要为Who（2000，xp……）开发的驱动。 
   最后finish 
   
6. 在解决方案中便是由DDKWzard为我们自动生成的一个简单的驱动程序框架。 
     
7. 最后点击F6生成解决方案，成功生成后在项目的objchk_win7_x86/i386文件夹下会生成几个文件 
   driver1.obj —编译生成的2进制文件 
   driver1.pdb—用于调试时使用的符号文件 
   vc90.pdb—–用于调试时使用的符号文件 
   driver1.sys—就是我们拭目以待的驱动程序文件