x86实模式调试入门——WinDbg使用教程零基础教学

从零开始掌握x86实模式调试：WinDbg实战全攻略

你有没有遇到过这样的场景——写了一个引导扇区程序，编译打包成boot.img，扔进QEMU里却黑屏不动？没有打印、没有报错，甚至连“死在哪儿”都不知道。这时候，靠猜是没用的，你需要的是真正的底层调试能力。

本文不讲空话，也不堆砌术语，目标只有一个：让你用上WinDbg，在x86实模式下看得见、停得下、改得了代码。哪怕你现在连“段寄存器是干啥的”都说不清，也能一步步跟着走通整个流程。

为什么我们要回到“1MB内存时代”？

别看现在动辄64位、虚拟内存、分页机制搞得天花乱坠，但每一台x86电脑开机的第一步，都必须回到那个古老的起点——实模式（Real Mode）。

在这个模式下：
- CPU只能访问前1MB内存（地址范围0x00000 ~ 0xFFFFF）
- 没有操作系统，没有malloc，没有printf
- 所有物理地址由段:偏移构成：物理地址 = 段 << 4 + 偏移
- 引导代码通常被BIOS加载到0x7C00开始执行

这听起来像考古？可如果你要开发自己的Bootloader、研究UEFI之前的启动过程、分析DOS病毒，或者参加CTF比赛中那些“pwn the boot sector”的题目，你就绕不开它。

问题是：怎么调试一段连操作系统的影子都没有的代码？

答案是：仿真 + 远程调试。而我们今天的主角，就是Windows平台下功能最强大的调试工具之一——WinDbg。

WinDbg不是只能调Windows内核吗？

很多人以为WinDbg只能用来分析蓝屏dump或驱动崩溃，其实不然。它的真正威力在于灵活的调试前端架构，支持多种后端连接方式，包括GDB协议。

这意味着：只要目标系统能提供一个GDB Stub接口，WinDbg就能接入并控制它——哪怕那是一段运行在QEMU里的16位汇编代码。

关键突破点：GDBStub桥接

现代模拟器如 QEMU 和 Bochs 都内置了 GDB 远程调试支持。它们会在本地开启一个TCP端口（默认1234），把CPU状态、内存读写、断点事件等通过GDB串行协议暴露出来。

WinDbg可以通过.target gdb:命令连接这个服务，瞬间获得对模拟CPU的完全控制权：

.target gdb:server=localhost,port=1234

一旦连接成功，你就可以像调试普通应用程序一样查看寄存器、反汇编、设断点、单步执行……只不过这次的目标是一个刚刚从0xFFFF0跳转下来的裸机系统。

快速搭建你的第一个调试环境

我们以最常见的组合为例：NASM + QEMU + WinDbg

第一步：写一个最简单的Bootloader

创建文件boot.asm：

org 0x7c00 start: mov ax, 0x07c0 mov ds, ax mov es, ax ; 使用BIOS中断输出字符 'A' mov ah, 0x0e ; 功能号：TTY模式输出 mov al, 'A' mov bx, 15 ; 属性：白色前景 int 0x10 ; 调用显卡服务 .hang: jmp .hang ; 死循环防止跑飞 ; 补齐512字节，并添加引导签名 times 510 - ($ - $$) db 0 dw 0xaa55

第二步：生成镜像

使用 NASM 汇编：

nasm boot.asm -f bin -o boot.img

确保输出文件大小为512字节，末尾两个字节是0x55AA（小端序），这是BIOS识别合法引导扇区的关键。

第三步：启动QEMU并暂停等待调试器

qemu-system-i386 -fda boot.img -s -S

解释一下参数：
--fda boot.img：将镜像挂载为软盘A
--s：启用GDB服务器，监听localhost:1234
--S：启动时暂停CPU，不执行任何指令 —— 这是你介入调试的黄金窗口！

此时QEMU已经“冻结”，CPU还没开始跑你的代码，只等调试器上线。

上手WinDbg：五条命令打天下

打开 WinDbg（建议使用 WinDbg Preview，体验更好），进入菜单File → Attach to Process… → Choose Target → TCP/IP，填入localhost:1234，或者直接在命令行输入：

.target gdb:server=localhost,port=1234

如果看到类似以下信息，说明连接成功：

Connected to debugger support provider Kernel Debugger Enabled...

现在你可以开始操控这台“虚拟古董PC”了。

1. 查看寄存器状态

r

你会看到一堆寄存器值，重点关注：
-EIP: 当前指令指针（应该是0xffff0或接近的位置）
-CS:IP: 实模式下的逻辑地址
-DS,ES: 数据段寄存器是否初始化？

⚠️ 注意：刚启动时CPU还在执行BIOS代码，你的0x7C00代码还没被执行。

2. 设置断点，等它跳过来

我们的目标是观察代码从0x7C00开始执行的过程。设置一个断点：

bp 0x7c00

然后让CPU继续运行：

g

正常情况下，BIOS会把引导扇区读入0x7C00，然后跳转过去。一旦命中断点，WinDbg就会自动暂停。

3. 反汇编看看写了啥

断下之后，反汇编几条指令确认是不是你的代码：

u 0x7c00 L5

你应该能看到熟悉的mov ax, 0x07c0等指令。如果显示的是乱码，说明镜像没正确加载，或者断点位置不对。

4. 单步执行，亲眼见证’A’是如何被打印出来的

接下来用单步命令逐条执行：

t ; Step Into（步入）

每按一次t，CPU执行一条指令。你可以实时观察：
-AX,BX,AL,AH的变化
- 执行到int 0x10时是否触发BIOS中断
- 是否真的在屏幕上打出一个‘A’

💡 小技巧：在执行int 0x10前，可以用r多检查一遍寄存器，确保AH=0Eh,AL='A'。

5. 直接查看内存内容

你想知道0x7C00处到底有没有你的机器码？用这条命令：

db 0x7c00 L16

它会以十六进制+ASCII形式显示前16字节内存。你应该看到类似：

7c00 b8 c0 07 8e d9 8e c1 b4 0e b0 41 bb 0f 00 cd 10 eb fd

对照NASM生成的机器码，验证一致性。

实战常见问题排查指南

别以为照着抄就万事大吉。下面这些坑，我保证你迟早会踩中。

❌ 啥都没发生，断点根本没断下来

可能原因：BIOS没找到可启动设备，或者镜像格式不对。

排查步骤：
1. 先确认boot.img是512字节且最后两字节为0x55 0xAA
2. 在WinDbg里执行：
dbg db 0x7c00 L4
如果全是0，说明QEMU根本没把扇区读进去。
3. 检查QEMU命令是否用了-fda或-hda正确挂载

✅解决方案：重新生成镜像，确保补全和签名正确。

❌ 断点断下了，但反汇编出来的不是你的代码

现象：u 0x7c00显示一堆?? ?? ??

原因：WinDbg默认按32位或64位反汇编，而你的代码是16位实模式指令。

解决方法：
告诉WinDbg当前是16位模式：

!cpu 16

或者手动指定反汇编宽度：

u 0x7c00 16b

还可以尝试切换处理器模式：

.version

查看当前调试上下文架构。

❌ 屏幕没输出‘A’，但寄存器都对了

怀疑对象：BIOS中断int 0x10没起作用。

深入调查：
1. 查看中断向量表第0x10项：
dbg dd 0x40 L1 ; IDT[0x10] 对应地址 0x40
得到一个4字节指针，比如0xf000:e987
2. 跳过去看看是不是有效的中断处理函数：
dbg u 0xf000e987 L3

如果这里也是乱码，说明模拟环境中断表损坏，或是QEMU未完整模拟ROM BIOS。

✅建议做法：换用Bochs，其BIOS模拟更贴近真实硬件。

Bochs：精度更高的替代选择

虽然QEMU速度快，但在某些极端低层行为（比如精确时序、I/O端口响应）上过于“优化”。如果你想做深度分析，推荐使用Bochs。

它强在哪？

• 按时钟周期模拟CPU，适合研究指令延迟
• 内建调试器支持内存监视点、I/O断点
• 支持符号映射，便于关联源码

启用远程调试只需改配置

编辑bochsrc.txt：

romimage: file=$BXSHARE/BIOS-bochs-latest vgaromimage: file=$BXSHARE/VGABIOS-lgpl-latest megs: 32 cpu: model=classic, debug=true display_library: nogui gdbstub: enabled=1, port=1234 ata0-master: type=floppy, path="boot.img" boot: floppy log: bochs.log

启动：

bochs -q

然后照样用WinDbg连接：

.target gdb:server=localhost,port=1234

你会发现Bochs对实模式的兼容性更好，尤其适合调试复杂跳转或多阶段加载逻辑。

如何提升调试效率？几个实用技巧

技巧1：自动生成符号映射（MAP文件）

用NASM汇编时加上-g参数，并生成map文件：

nasm -g -f bin boot.asm -l boot.lst

.lst文件会列出每个标签对应的地址，例如：

1 00000000 org 0x7c00 2 3 00000000 start: 4 00000000 B8C007 mov ax, 0x07c0

你在WinDbg中就知道start在0x7C00，可以直接：

bp 0x7c00

甚至可以命名断点：

bp 0x7c00 "Bootloader entry"

技巧2：使用脚本自动化重复操作

保存常用命令为.scr文件，比如init_dbg.scr：

.target gdb:server=localhost,port=1234 .symbolpath .\symbols .reload bp 0x7c00 .echo [+] Breakpoint set at 0x7C00 g

在WinDbg中执行：

$<init_dbg.scr

一键完成连接+断点+运行。

技巧3：修改内存测试不同分支

假设你想测试某个条件判断逻辑，但无法改变输入，可以直接修改内存：

eb 0x7c05 01 ; 修改某字节为1 ew 0x7c0a 1234 ; 修改一个word eq 0x7c10 0xdeadbeef ; 修改一个qword

然后继续执行，观察行为变化。这就是“非侵入式调试”的魅力所在。

调试的本质：从“盲人摸象”到“全局掌控”

以前我们写实模式代码，就像是闭着眼睛拼图：
- 改一行 → 编译 → 启动 → 看结果 → 失败 → 再改
- 中间出了什么问题？不知道。
- 寄存器被谁改了？不清楚。
- 跳转去哪儿了？全靠猜。

而现在，有了WinDbg + QEMU/Bochs这套组合拳，你终于可以睁开眼睛看清楚整个过程。

你能看见：
- CPU是怎么一步一步走到int 0x10的
- 段寄存器有没有被意外清零
- 堆栈有没有溢出覆盖代码区
- 中断向量是不是指向了错误地址

这不是魔法，这是每一个系统程序员都应该掌握的基本功。

写在最后：这门手艺值得你花时间学

也许你会说：“现在谁还写Bootloader？”
但你要知道：
- 操作系统课程设计要用
- CTF比赛常考
- 固件逆向分析绕不开
- RISC-V兴起反而让我们更需要理解x86的“原始形态”

更重要的是，当你掌握了如何调试一段没有任何运行环境支撑的代码时，你就真正理解了“计算机是如何工作的”。

而WinDbg，正是带你走进这个世界的钥匙。

如果你按照本文一步步操作下来，成功看到了那个断在0x7C00的瞬间，亲手执行了第一条mov ax, 0x07c0，那你已经比90%只会“运行看效果”的人走得更远。

下一步，不妨试试：
- 加载第二个扇区
- 切换到保护模式
- 实现一个简单的内核加载器

到时候你会发现，曾经遥不可及的“操作系统开发”，其实不过是一步步调试积累出来的结果。

💬互动时间：你在调试实模式代码时遇到过哪些奇葩问题？欢迎留言分享，我们一起排雷拆坑。