Волчьи IT-мысли » Отладка

Свежий взгляд на антиотладку

priv8v — Thu, 02 Jun 2011 13:19:59 +0000

Ниже пойдет речь исключительно об OllyDbg и плагинах к ней, но описанный подход и сами идеи при определенных навыках вы сможете использовать применительно и к другим утилитам такого класса.

Если эти строки вы читаете, борясь с желанием закрыть окно браузера оттого, что далеко не уверены, будет ли сказано далее что-то для вас новое и оригинальное, то ответьте для себя на следующие вопросы:

Как работает функция IsDebuggerPresent? Если ее не вызывать из kernel32, а реализовать ее функционал в своем коде, то получится ли обмануть анти-антиотладку? Как плагин скрывает процесс отладчика (чтобы его подопытная программа не завершила по имени или не прекратила свою работу)?

Если на эти вопросы вы с легкостью отвечаете и еще можете рассуждать на эту тему и рассказать в каком плагине что да как, то статья вряд ли откроет вам на что-то глаза или сможет показать хоть что-то новое, но если прочитать все же хочется или вопросы несколько озадачили, то рекомендую к прочтению.

Сам процесс антиотладки и противодействия оной, достаточно автоматизирован — существует приличное количество навесных защит на файлы и специальных анти-антиотладочных плагинов к дебаггерам.

На этот раз пойдет речь о способах обнаружения факта отладки путем выявления и анализа изменений, вносимых плагинами отладчика в исследуемый процесс и систему. Плагины скрывают присутствие отладчика в системе, но скрывают ли они себя самих? Не вызывают ли они каких-то аномалий? При поиске ответов на эти вопросы из под пера (точнее клавиатуры) вышла данная рукопись.

На тему противодействия отладке написано немало статей, как хороших, так и «ни о чем». У меня нет ни малейшего желания изобретать колесо и разжевывать то, что было с успехом сделано и до меня, поэтому если что-то в статье вам покажется непонятным, то запрос «антиотладка» в яндекс/гугл, думаю, все расставит по своим местам.

Все антиотладочные приемы условно можно разделить на две группы:

Усложнение возможной отладки. Сюда можно отнести обфускацию кода, паковку/криптовку, использование исключений, разделение кода на потоки/библиотеки, мусорные функции и т.д.
Обнаружение отладки. Название говорит само за себя — так или иначе происходит обнаружение самого факта исследования: через созданные для этого функции или через нахождения окна/процесса отладчика, нахождение брекпоинтов (CC, проверка атрибутов доступа и др.), замеры времени и т.д.

Как, наверное, уже понял читатель, наш метод относится ко второй группе. Использовать полученное знание можно по-разному. Про это писалось много, но вкратце сказать об этом все же необходимо: обнаружив отладчик, конечно, можно сразу радостно выкинуть алерт типа «debugger detected» и завершить работу, а можно затаиться и потихонечку портить жизнь взломщику — сбить значения пары переменных, изменить логику работы программы, использовать флаги обнаружения отладчика как слагаемые при вычислении относительного адреса и т.д. Совершенно очевидно, что второй способ способен очень сильно затруднить жизнь исследователю, но все эти возможности оставляю вашей фантазии с базированием на других статья на эту тему, я же только постараюсь показать новые методы обнаружения отладки, а как вы это будете применять далее уже не мое дело.

Ниже будут рассмотрены способы защиты от некоторых антиотладочных приемов следующими популярными плагинами для OllyDbg:

Olly Advanced 1.26 Beta 12
Hide Debugger v1.2.4 (by Asterix)
HideOD v0.12 (pеdiy.соm)

ZwQueryInformationProcess (InfoClass = 7)

Olly Advanced модифицирует данную функцию так, что после ее отработки она сама же зануляет четырехбайтовый буфер и вместо законных FFFFFFFF там будет абсолютный ноль.

HideOD работает более жестко. Функцию он модифицирует так, что она, по сути, и не работает (вызова в ядро не происходит). При этом значение регистра есх остается преждним, хотя нормальная функция его бы изменила, значение edx также остается постоянным или меняется на 00320000 (в зависимости от выбора метода в настройках).

А в Hide Debugger такой функционал не заложен.

GetTickCount

Защиту от этого метода предлагает только Olly Advanced, причем двумя методами. При выборе первого варианта защиты, происходит просто обнуление возвращаемого значения (при любых обстоятельствах данная функция вернет 0), а второй возвращает небольшое значени и при повторных вызовах функции прибавляет к счетчику единицу. Реализованы они по принципу «перехвати себя сам» — код функции изменяется так, что как надо она не работает. В любом случае значения счетчиков выходят до безобразия маленькие, чем можно воспользоваться. Вот самый простой пример:

call GetTickCount
push eax
invoke Sleep, 1000d ; 3e8h
call GetTickCount
pop ecx
sub eax, ecx

В итоге если в eax ноль или единица, а не законный минимум 3E8, то значит, поработал плагин…
Данная функция состоит из четырех строк и не делает каких-либо глубинных вызовов по относительным адресам, поэтому никаких сложностей собственной ее реализации быть не должно:

MOV EDX,7FFE0000
MOV EAX,[DWORD DS:EDX]
MUL [DWORD DS:EDX+4]
SHRD EAX,EDX,18
PUSH EAX
PUSH 3E8                    ; Timeout = 1000. ms
CALL   ; Sleep
MOV EDX,7FFE0000
MOV EAX,[DWORD DS:EDX]
MUL [DWORD DS:EDX+4]
SHRD EAX,EDX,18
POP ECX
SUB EAX,ECX

Чтобы не бросаться в глаза можно обойтись и без Sleep’a, просто проверить один раз использовать код GetTickCount и проверить еах на близость к нулю, и если на данном участке программы такое небольшое значение невозможно, то значит плагин детектед…

Process32Next

Теперь рассмотрим что за жуткую зиродей руткит-технологию используют плагины для сокрытия процесса ollydbg от подопытной программы.
Olly Advanced в этом плане решил не заморачиваться и просто обнуляет еах в функции Process32NextW, на чем, собственно, все листание процессов и заканчивается: Process32First отрабатывает как положено, а процессов next оказывается в системе не существует, ну, на нет и суда нет, видимо юзер так оптимизировал систему убрав ненужные процессы ;)

Кстати, помимо того, что в реальной системе процессов чуть побольше чем один, так и при завершении листания всех процессов, Process32Next помимо выдачи нуля в eax еще и LastError, установленный в ERROR_NO_MORE_FILES, обеспечит…

HideOD работает точно также и обсуждать его посему незачем.

В Hide Debugger такой функционал не замечен, конечно, может там названо это иначе, например защитой от убийства процесса (галочка напротив TerminateProcess), но какого-либо результата от установки этой защиты добиться не удалось, подопытной утилите ничто не помешало пролистать процессы, найти процесс олли и благополучно его прибить, после этого у меня пропало всякое желание исследовать, почему так происходит в этом плагине. К слову сказать, защита от TerminateProcess в Olly Advanced работает как топор — просто и надежно: в самое начало функции поставлен ret.

Теперь, после знакомства с некоторыми принципами работы анти-антиотладочных плагинов можно перейти к выводам. Некоторые из них уже были вкратце озвучены выше, а до каких-то нужно еще дойти посредством мыслительной деятельности — размышляя какие слабости у таких методов реализации защиты отладчика от агрессивно настроенных программ:

Поиск аномалий
- Различия в изменениях регистров. Исследовав работу чистой функции и с плагином можно выявить различия.
- Используя функцию GetLastError (или самостоятельно находя значение в блоке окружения) после антиотладочных функций (выше есть пример) проверить правильность ее работы. Если функция в случае неудачи возвращает 0 и msdn советует вызывать GetLastError, которая клянется, что все ОК, то это повод задуматься…
- Можно обнаружить сплайсинг путем поиска опкода jmp в первых байтах функции. Вызвав GetProcAddress, можно не только использовать его для вызова, но и незаметно сохранить первые его байты, а потом в спокойной остановке исследовать.
- Правдоподобность. Один процесс в системе это похоже на истину? Нет. Вот и ответ.
Рыба ищет, где глубже…
- Использовать NativeAPI. Конечно, в некоторых случаях перехвачены и они, но ведь это общая рекомендация и из примеров выше видно на каком уровне что изменяется.
- sysenter. В этом случае за собой придется таскать массив номеров системных вызовов, т.к от системы к системе они меняются.
- Серединный вызов api-функций. На самом деле это не так сложно как кажется и таскать за собой километры кода функций не требуется, достаточно вызывать с $+5, т.к зачастую именно в первых пяти байтах содержится jmp, тем более не стоит забывать о распространенном пятибайтовом прологе.
Ищем плагин. Если сам отладчик может быть замаскирован как бревно в собственном глазу (т. е найти почти нереально), то плагин может и не скрываться совсем. Например, CommandBar светится классом окна ComboLBox.

Использование мэппинга драйверов

SWW — Thu, 08 Jul 2010 11:50:08 +0000

В отладчике WinDbg существует специальная возможность – мэппинг драйвера. Отладчик может перехватить момент загрузки драйвера на тестовой машине и загрузить в память копию драйвера с машины разработчика. Эта способность избавляет разработчика от проблемы копирования файла драйвера на тестовую машину и, конечно, от забывчивости.

Прежде всего, необходимо внести в переменные окружения компьютера разработчика параметр _NT_KD_FILES, где значением этого параметра должен быть полный путь до специального map-файла, например, c:\driver.map.

Далее, необходимо создать сам map-файл по выбранному пути с указанным содержимым:

map
\??\C:\1\driver32.sys
C:\project_path\out\debug\driver32.sys

Во второй строке файла необходимо указать путь до драйвера на тестовой машине (например, на VmWare) так, как он указан в реестре данного сервиса. В третьей строке необходимо указать путь до файла на машине разработчика. Удобнее всего использовать путь до директории, в которой собирается chk-билд драйвера. Тогда каждый раз при загрузке драйвера будет загружена его новая версия.

В отладчике процесс загрузки драйвера с машины разработчика на тестовую машину выглядит примерно так:

kd> g
KD: Accessing ‘C:\project_path\out \debug\driver32.sys’ (\??\C:\1\driver32.sys)
File size 91K…………………………….
MmLoadSystemImage: Pulled \??\C:\1\driver32.sys from kd

Удачной отладки!

Утилита DumpConfigurator

SWW — Wed, 10 Mar 2010 20:18:14 +0000

Рекомендую всем простенькую тулзу для конфигурации memory дампов. Она выполнена в виде .hta-файла.

Утилита DumpConfigurator

Ссылка на скачивание:

http://www.codeplex.com/WinPlatTools/SourceControl/changeset/view/14600#256939

Адрес модуля в WinDbg

SWW — Fri, 20 Nov 2009 13:32:07 +0000

Довольно часто я сталкиваюсь с тем, что необходимо получить имя модуля по какому-либо адресу внутри него. Например, для того, чтобы загрузить символы этого модуля. Отладчик использует отложенную загрузку символов (deferred symbol loading или lazy symbol loading) и выражается она в том, что символы подгружаются только тогда, когда они нужны. Делается это специально, иначе программист устанет ждать, когда же загрузятся все символы. Я, кстати, не знаю в чем смысл «когда они нужны». Эта тайна доступна лишь программистам WinDbg.

И так часто бывает, что по команде lm видны лишь несколько модулей ядра:

kd> lm

start end module name
8181c000 81bd5000 nt (pdb symbols) c:\symserver\ntkrpamp.pdb\37D328E3BAE5460F8E662756ED80951D2\ntkrpamp.pdb

Unloaded modules:
85b4a000 85b57000 crashdmp.sys
85b57000 85b61000 dump_storport.sys
85b61000 85b7b000 dump_LSI_SCSI.sys
85b7b000 85b8c000 dump_dumpfve.sys

Рассмотрим типичную ситуацию, в которой необходимо получить имя модуля по адресу в его образе:

kd> !devstack \Device\Harddisk0\DR0

!DevObj !DrvObj !DevExt ObjectName
84680d20 \Driver\partmgr 84680dd8
> 8457d1e0 \Driver\disk 8457d298 DR0
83d03708 \Driver\LSI_SCSI 83d037c0 0000004b

!DevNode 83d031d0 :

DeviceInst is «SCSI\Disk&Ven_VMware_&Prod_VMware_Virtual_S\4&2b9256da&0&000000″

ServiceName is «disk»

kd> !devobj 83d03708
Device object (83d03708) is for:
0000004b \Driver\LSI_SCSI DriverObject 833bbb98
Current Irp 00000000 RefCount 0 Type 00000007 Flags 00001050
Dacl 87c8f334 DevExt 83d037c0 DevObjExt 83d03a38 DevNode 83d031d0
ExtensionFlags (0×00000800)
Unknown flags 0×00000800
AttachedDevice (Upper) 8457d1e0 \Driver\disk
Device queue is not busy.

kd> !drvobj 833bbb98 2
Driver object (833bbb98) is for:
\Driver\LSI_SCSI
DriverEntry: 81fec005
DriverStartIo: 00000000
DriverUnload: 807b9a50
AddDevice: 807b379c

Dispatch routines:

[00] IRP_MJ_CREATE [01] IRP_MJ_CREATE_NAMED_PIPE [02] IRP_MJ_CLOSE [03] IRP_MJ_READ [04] IRP_MJ_WRITE [05] IRP_MJ_QUERY_INFORMATION [06] IRP_MJ_SET_INFORMATION [07] IRP_MJ_QUERY_EA [08] IRP_MJ_SET_EA [09] IRP_MJ_FLUSH_BUFFERS [0a] IRP_MJ_QUERY_VOLUME_INFORMATION [0b] IRP_MJ_SET_VOLUME_INFORMATION [0c] IRP_MJ_DIRECTORY_CONTROL [0d] IRP_MJ_FILE_SYSTEM_CONTROL [0e] IRP_MJ_DEVICE_CONTROL [0f] IRP_MJ_INTERNAL_DEVICE_CONTROL [10] IRP_MJ_SHUTDOWN [11] IRP_MJ_LOCK_CONTROL [12] IRP_MJ_CLEANUP [13] IRP_MJ_CREATE_MAILSLOT [14] IRP_MJ_QUERY_SECURITY [15] IRP_MJ_SET_SECURITY [16] IRP_MJ_POWER [17] IRP_MJ_SYSTEM_CONTROL [18] IRP_MJ_DEVICE_CHANGE [19] IRP_MJ_QUERY_QUOTA [1a] IRP_MJ_SET_QUOTA [1b] IRP_MJ_PNP 807e460a +0x807e460a
81841fef nt!IopInvalidDeviceRequest
807e4565 +0x807e4565
81841fef nt!IopInvalidDeviceRequest
81841fef nt!IopInvalidDeviceRequest
81841fef nt!IopInvalidDeviceRequest
81841fef nt!IopInvalidDeviceRequest
81841fef nt!IopInvalidDeviceRequest
81841fef nt!IopInvalidDeviceRequest
81841fef nt!IopInvalidDeviceRequest
81841fef nt!IopInvalidDeviceRequest
81841fef nt!IopInvalidDeviceRequest
81841fef nt!IopInvalidDeviceRequest
81841fef nt!IopInvalidDeviceRequest
807e46cb +0x807e46cb
807b3ee3 +0x807b3ee3
81841fef nt!IopInvalidDeviceRequest
81841fef nt!IopInvalidDeviceRequest
81841fef nt!IopInvalidDeviceRequest
81841fef nt!IopInvalidDeviceRequest
81841fef nt!IopInvalidDeviceRequest
81841fef nt!IopInvalidDeviceRequest
807b998f +0x807b998f
807e48fe +0x807e48fe
81841fef nt!IopInvalidDeviceRequest
81841fef nt!IopInvalidDeviceRequest
81841fef nt!IopInvalidDeviceRequest
807e629c +0x807e629c

kd> lma 0x807e46cb

start end module name

Команда lm с параметром a Address должна вывести имя модуля, в котором содержится данный адрес, но символы не загружены и список модулей практически пуст. Как вариант – это загрузить все символы для всех модулей ядра, но, не загружая их.

kd> .reload /n /s
Connected to Windows Server 2008/Windows Vista 6001 x86 compatible target at (Fri Nov 20 15:54:17.231 2009 (GMT+3)), ptr64 FALSE
Loading Kernel Symbols
………………………………………………………
……………………………………………………….
…..
Loading unloaded module list
….
kd> lm
start    end        module name
8060e000 80616000   kdcom      (deferred)
80616000 80676000   mcupdate_GenuineIntel   (deferred)
80676000 80687000   PSHED      (deferred)
80687000 8068f000   BOOTVID    (deferred)
8068f000 806d0000   CLFS       (deferred)
806d0000 807b0000   CI         (deferred)
807b0000 807f1000   storport   (deferred)
8181c000 81bd5000   nt         (pdb symbols)          c:\symserver\ntkrpamp.pdb\37D328E3BAE5460F8E662756ED80951D2\ntkrpamp.pdb
81bd5000 81c08000   hal        (deferred)
81e0e000 81e8a000   Wdf01000   (deferred)
81e8a000 81e97000   WDFLDR     (deferred)
…

Unloaded modules:
85b4a000 85b57000   crashdmp.sys
85b57000 85b61000   dump_storport.sys
85b61000 85b7b000   dump_LSI_SCSI.sys
85b7b000 85b8c000   dump_dumpfve.sys

Как мы видим, информация о модулях обновилась, а загрузка символов все еще отложена. Теперь попробуем еще раз воспользоваться командой lm:

kd> lma 0x807e46cb
start end module name
807b0000 807f1000 storport (deferred)

Вот мы и получили имя модуля и можем подгрузить только его символы.

Альтернативный вариант – воспользоваться скриптовым языком отладчика и перечислить все модули ядра:

$$ pointer to modules list
r $t0 = nt!PsLoadedModuleList
 
	.echo "Section             Start               End                 Name"
 
.for ( r $t1 = poi(@$t0);
       (@$t1 != 0) & (@$t1 != @$t0);
       r $t1 = poi(@$t1) )
{
    r? $t2 = #CONTAINING_RECORD( @$t1, nt!_LDR_DATA_TABLE_ENTRY, InLoadOrderLinks );
    as /x ${/v:$Section} @$t2
 
    $$  Get image name into $DriverName
    as /msu ${/v:$DriverName} @@c++(&@$t2->BaseDllName)
    $$  Get image base into $Start
    as /x ${/v:$Start} @@c++(@$t2->DllBase)
    $$  Get image base + image size into $End
    as /x ${/v:$End} ( @@c++(@$t2->DllBase) + @@c++(@$t2->SizeOfImage) )
 
    .block
    {
        .echo ${$Section}: ${$Start}: ${$End}: ${$DriverName}
    }
 
    ad ${/v:$End}
    ad ${/v:$Start}
    ad ${/v:$DriverName}
    ad ${/v:$Section}
}

kd> $$>a< c:\dbg_get_kernel_modules.txt
Section Start End Name
0xffffffff82f69ba0: 0xffffffff8181c000: 0xffffffff81bd5000: ntoskrnl.exe
0xffffffff82f69b30: 0xffffffff81bd5000: 0xffffffff81c08000: hal.dll
0xffffffff82f69ab8: 0xffffffff8060e000: 0xffffffff80616000: kdcom.dll
0xffffffff82f69a40: 0xffffffff80616000: 0xffffffff80676000: mcupdate.dll
0xffffffff82f699c8: 0xffffffff80676000: 0xffffffff80687000: PSHED.dll
0xffffffff82f69950: 0xffffffff80687000: 0xffffffff8068f000: BOOTVID.dll
0xffffffff82f698e0: 0xffffffff8068f000: 0xffffffff806d0000: CLFS.SYS
0xffffffff82f69870: 0xffffffff806d0000: 0xffffffff807b0000: CI.dll
0xffffffff82f697f8: 0xffffffff81e0e000: 0xffffffff81e8a000: Wdf01000.sys
0xffffffff82f69780: 0xffffffff81e8a000: 0xffffffff81e97000: WDFLDR.SYS
0xffffffff82f69710: 0xffffffff81e97000: 0xffffffff81edd000: acpi.sys
0xffffffff82f69698: 0xffffffff81edd000: 0xffffffff81ee6000: WMILIB.SYS
0xffffffff82f69620: 0xffffffff81ee6000: 0xffffffff81eee000: msisadrv.sys
0xffffffff82f695b0: 0xffffffff81eee000: 0xffffffff81f15000: pci.sys
0xffffffff82f69538: 0xffffffff81f15000: 0xffffffff81f24000: partmgr.sys
0xffffffff82f694c0: 0xffffffff81f24000: 0xffffffff81f27000: compbatt.sys
0xffffffff82f69448: 0xffffffff81f27000: 0xffffffff81f31000: BATTC.SYS
0xffffffff82f693d0: 0xffffffff81f31000: 0xffffffff81f40000: volmgr.sys
0xffffffff82f69358: 0xffffffff81f40000: 0xffffffff81f8a000: volmgrx.sys
0xffffffff82f692e0: 0xffffffff81f8a000: 0xffffffff81f91000: intelide.sys
0xffffffff82f69268: 0xffffffff81f91000: 0xffffffff81f9f000: PCIIDEX.SYS
0xffffffff82f691f0: 0xffffffff81f9f000: 0xffffffff81faf000: mountmgr.sys
0xffffffff82f69178: 0xffffffff81faf000: 0xffffffff81fb7000: atapi.sys
0xffffffff82f69100: 0xffffffff81fb7000: 0xffffffff81fd5000: ataport.SYS
0xffffffff82f69088: 0xffffffff81fd5000: 0xffffffff81fef000: lsi_scsi.sys
0xffffffff82f6ff90: 0xffffffff807b0000: 0xffffffff807f1000: storport.sys
…

Темы WinDbg

SWW — Thu, 19 Nov 2009 18:07:48 +0000

Рабочее место разработчика должно быть удобным для него. Ничего не должно отвлекать от процесса разработки или анализа и все должно быть под рукой. Отладчик WinDbg не блещет красивым и удобным интерфейсом, но старается покорять громадными техническими возможностями.

Данная заметка – это вольное изложение документации, которая поставляется с отладчиком.

Тема отладчика WinDbg – это специальным образом сконфигурированное рабочее место с окнами, закрепленными на своем месте. Выше уже было сказано то, что данный отладчик не отличается дружественным интерфейсом, поэтому темы в нем представлены в виде .reg файлов, которые можно импортировать (и экспортировать из реестра) в определенную ветку реестра (HKEY_CURRENT_USER\Software\Microsoft\Windbg).

Загрузка темы

Рекомендуется очистить все данные рабочего места. Из GUI WinDbg – File->Clear Workspace или удалив ключ HKEY_CURRENT_USER\Software\Microsoft\Windbg\Workspaces.
Загрузить тему из директории themes (C:\Program Files\Debugging Tools for Windows\themes\) отладчика по вашему выбору. Импортирование информации из .reg файла затрет текущее рабочее место.

Перед использованием темы

После загрузки темы запустите WinDbg без параметров. Откроется рабочее место по умолчанию.
Настройте готовую тему так, как вам это нужно. Не забудьте про пути к символам, исходным кодам и так далее. Также можно подвигать окна так, как вам будет удобно с ними работать.
Закройте отладчик и сохраните ваше рабочее место.
После всех настроек можно экспортировать ветку реестра HKEY_CURRENT_USER\Software\Microsoft\Windbg\Workspaces в .reg файл.

Предустановленные темы отладчика WinDbg

Трюки WinDbg

SWW — Tue, 14 Apr 2009 21:27:55 +0000

Представляю вашему вниманию страницу «Трюки WinDbg», которую буду пополнять по мере возможности. Об изменениях в ней я сообщу дополнительно. Вопросы можно оставлять в любой теме, которая относится к данной странице.

IDA vs Windbg

SWW — Sun, 08 Mar 2009 10:41:13 +0000

Относительно недавно вышла новая IDA v5.4. В ней были заявлены возможности удаленной отладки, используя Windbg. Конечно, в IDA появились и другие интересные вещи. Среди них я бы выделил те самые три отладчика: Bosch, GDB, Windbg; возможность писать на Python (видимо для гиков и «аверов», которые строят на этом системы анализа); и, задерживаем дыхание, возможность получить имена локальных переменных и типы из формата .PDB. Последнее означает то, что теперь можно загрузить наконец-то ntoskrnl.exe в IDA и все недокументированные структуры будут как на ладони (это ж надо дойти до этого только к версии 5.4).

Картинка ниже показывает недокументированную структуру _KTHREAD файла ядра.

Возможности загрузить структуры в другой анализируемый файл — нет. Пользуемся старым способом: добавляем нужные нам структуры и экспортируем их в виде .IDC файла, который потом подгружаем в анализируемый сэмпл. Неудобно добавлять каждую структуру по отдельности, также неудобно то, что нет возможности сразу подгрузить все структуры из .PDB в анализируемый файл.

Первым делом, я взялся смотреть отладчик, так как он мне интереснее всего. Скачиваем по ссылке статью, в которой описываются настройки IDA для удаленной отладки с помощью Windbg. Прежде всего, я советую обратить внимание на следующие моменты:

Конфигурация источника символов. Не забываем прописать путь в переменные окружения или перед запуском IDA выполняем команду set.
Выбираем Debugger->Attach, а не Debugger->Run.
Не забываем поставить галочку Kernel mode debugging.

Сразу после подключения мы получаем полноценный отладчик, который умеет выполнять команды Windbg в отдельном окошке. Нам доступны все расширения (смотри .chain и .load). Не забывайте нажимать C для преобразования в код. В отладчике также работает Hex-Rays (для этого надо создать функцию, нажмите P, а потом F5).

Пожалуй, я задумаюсь о полноценном переходе на отладчик IDA, использующий Windbg. Графический интерфейс однозначно удобнее, а если меня застигнет ностальгия, то всегда под рукой строка для ввода команд Windbg.