Windbg对过滤驱动DriverEntry函数下断点技巧

最新推荐文章于 2019-06-29 19:08:22 发布
最新推荐文章于 2019-06-29 19:08:22 发布
阅读量1.1k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kelsel/article/details/52758639
版权

http://www.cppblog.com/flytosky2008gao/archive/2009/08/16/93477.aspx

方法1: 
1> 先用DeviceTree.exe查看指定的过滤驱动的Load Address(加载地址) 
2> 再用LordPE.EXE查看指定过滤驱动文件的入口点地址 
3> 计算过滤驱动的DriverEntry函数内存地址 DriverEntry函数内存地址 = Load Address + 入口点地址 
例子: 
1> Load Address = 0xFAABF000 
2> 入口地址 = 0x3400 
3Windbg下断点 bu 0xFAABF000+0x3400

方法2: 
1> 先用DeviceTree.exe查看指定的过滤驱动的Service Name 
2> 再用LordPE.EXE查看指定过滤驱动文件的入口点地址 
3> 计算过滤驱动的DriverEntry函数内存地址 DriverEntry函数内存地址 = Service Name + 入口地址 
例子: 
1> Service Name是 ntfs 
2> 入口地址 = 0x3400 
3Windbg下断点 bu ntfs+0x3400

方法3

windbg调试时,通过u Module!DriverEntry看到机器指令,然后选一个恰当的地址(或者直接DriverEntry第一条指令的地址也可)比如是f8399695,那么,直接bu f8399695即可。

或者有符号文件,则直接 bu Module!DriverEntry

方法4:

编写源代码时,在DriverEntry开头,加 
#ifdef DBG 
_asm int 3 
#endif

那么,调试时,执行到DriverEntry的int 3,自然会停下来。

DriverEntry

补充:注意,在DriverEntry处下断点,最好是用bu命令,而不是bp命令。

bu命令用来设置一个延迟的、以后再求解的断点,对未加载模块中的代码设置断点。

实现原理:当指定模块被加载时,才真正设置这个断点。

对动态加载模块的入口函数或初始化代码处 加断点特别有用。

<script>window._bd_share_config={"common":{"bdSnsKey":{},"bdText":"","bdMini":"2","bdMiniList":false,"bdPic":"","bdStyle":"0","bdSize":"16"},"share":{}};with(document)0[(getElementsByTagName('head')[0]||body).appendChild(createElement('script')).src='http://bdimg.share.baidu.com/static/api/js/share.js?v=89860593.js?cdnversion='+~(-new Date()/36e5)];</script>
阅读(348) | 评论(0) | 转发(0) |
0

上一篇:WinDBG 技巧:设断点命令详解(bp, bu, bm, ba 以及bl, bc, bd, be)

下一篇:Device Interface Classes WDM

相关热门文章
给主人留下些什么吧!~~
评论热议
kelsel
关注
专栏目录
windbg调试驱动学习总结
bcbobo21cn的专栏
03-19 4257
简单驱动编写与windbg调试 http://trustsec.blog.51cto.com/305338/64694/ 一.驱动编写 随着对windows系统的深入研究,越来越多的内核方面的知识被挖掘出来了,今天我们讨论下如何写一个 简单的驱动,并使用现在比较新的windbg调试器进行调试。首先写驱动要对驱动有一个比较全面的认识 。 一个简单的驱动一般有以下几
windbg调试和断点学习总结2
热门推荐
bcbobo21cn的专栏
12-13 1万+
WinDbg 设置断点windbg中,断点设置的地址形式有好多种,可以是以下几种: 1.虚拟地址:即给出直接地址,如 12345678 2.函数偏移量:如DriverEntry+5c. 3.源代码+行数 :`[[Module!]Filename][:LineNumber]` 4.对C++可以对模块中的某个类的方法设置断点:   设置断点语法:           1:
windbg 调试驱动设置断点
漂飘渔人
12-19 2947
在对windows的驱动做双机调试时,总会需要在自己编写的驱动代码上设置断点。  1 这需要首先,在windbg上设置工作空间(workspace)                      在这步里面,需要将自己生成的符号文件,能够让windbg搜索到,即将自己符号文件的路径加入到windbg的symbol path里                                    
WinDBG 技巧:设断点命令详解(bp, bu, bm, ba 以及bl, bc, bd, be)
weixin_33750452的博客
03-26 279
WinDBG 提供了多种设断点的命令:bp, bu, bm, ba bp 命令是在某个地址下断点, 可以 bp 0x7783FEB 也可以 bp MyApp!SomeFunction 。 对于后者,WinDBG 会自动找到MyApp!SomeFunction 对应的地址并设置断点。 但是使用bp的问题在于:1)当代码修改之后,函数地址改变,该断点仍然保持在相同位置,不一定继续有效; 2)Win...
WinDbg下断驱动入口
莫灰灰的专栏
05-28 2251
这个问题虽然是比较老了,但是看雪上还有同学提到,在这里做个总结,给像我这样的新手看看。   1)直接修改入口 用c32asm或者其他PE编辑工具,修改开头的几个字节,改成cc,即int 3。这样,驱动加载的时候就会断在这里了。 ps:这种方法对于有校验的驱动可能不太适用。 2)下断IopLoadDriver 这里的EDI其实就是DriverObject。Driv
windbg断点
chengkou8481的博客
03-23 188
条件断点: 以前对条件断点不熟,总是下bu(bp....)每次都要断下,弄得自己很蛋疼... 于是下决心把条件断点记住并用熟,提高调试效率。 如何判断中断条件? 使用j命令或者.if....else命令,即 bp|bu|bm|ba Address "j (Co...
如何使用windbg驱动加载时下断
一介渔夫
10-17 8931
首先说说应用层的调试吧.当我们在调试windows可执行程序的时候,通过将PE文件头中的ImageBase和AddressOfEntryPoint相加,从而得出第一条指令的地址.针对这个地址下断之后目标程序就中断在了了入口处.但是这个方法在驱动调试的时候却有心无力.这是因为可执行程序都是首先被加载到各自的私有地址空间,他们不会有地址冲突.然而驱动程序运行在内核里面,所有的驱动程序共享一个地址空间.
Windbg断点调试
Geons的花园阳台
02-28 786
[文章主题]Windbg是Windows驱动调试的重要软件,也是必须学习的软件,前面的博客介绍了一些双机调试的环境配置,只要按照我所说的步骤一步步下来就可以完成环境搭建。本文主要介绍如何调试sys格式的驱动文件,网上很多资料都说得含糊不清,甚至有博主就是简单翻译外文资料,根本没有实际应用,这篇文章将解决这些问题。[环境配置]VM虚拟机(已安装XP系统)DriverMonitor(安装在XP系统中)...
《Windows 文件系统过滤驱动开发教程(第二版)》
03-21
《Windows 文件系统过滤驱动开发教程(第二版)》是一本深度探讨Windows操作系统中文件系统过滤驱动程序开发的专业书籍。在Windows系统中,文件系统过滤驱动是内核模式驱动程序的一部分,它们位于文件系统驱动(如...
键盘过滤驱动改键程序
05-27
例如,可以通过键盘过滤驱动将键盘上的某个键映射为另一键,或者在特定条件下屏蔽特定按键,以防止误操作。对于新手来说,自学驱动开发可能是一个挑战,因为它涉及到底层编程和硬件接口的知识,但掌握之后,可以实现...
DeviceTree-64bit.zip
09-26
驱动开发 DeviceTree,支持64位操作系统。
deviceTree.exe
03-01
驱动程序查看器。驱动程序查看器。驱动程序查看器
DriverMonitor,devicetree,Winobj,irptrace
06-17
如果你想学驱动,如果你想学rootkit,这些工具是必备的,相当有用
devicetree_v230
04-03
顶级设备驱动查看工具,可查看当前加载的驱动列表,包括虚拟设备等 Version : V2.20 OS Support : Windows 2000 (x86), XP (x86, use srv2003 x64), Server 2003 (x86,x64), Windows Vista (x86,x64), W2K8 (x86,x64) Date Updated: 4,May 2009 Author : OSR DeviceTree has been tested on x64 os's. It runs on XP-X64 (which is srv2003 x64) and all later X64 Os's. It currently does not support Win7..
WinDbg 设置断点
togoblime的专栏
02-25 8954
windbg中,断点设置的地址形式有好多种,可以是以下几种:1.虚拟地址:即给出直接地址,如 123456782.函数偏移量:如DriverEntry+5c.3.源代码+行数 :`[[Module!]Filename][:LineNumber]`4.对C++可以对模块中的某个类的方法设置断点: 设置断点语法:         1:无条件设置断点:  
windbgDriverEntry断点
死胖子的博客
02-15 755
驱动尚未加载时,使用:bp 驱动名!DriverEntry: 效果: 0: kd> bp gohome!DriverEntry Bp expression 'gohome!DriverEntry' could not be resolved, adding deferred bp 当驱动加载后自动断到驱动入口。
Windbg设置入口函数DriverEntry断点
faithzzf的专栏
11-18 2632
Windows驱动程序加载的入口函数DriverEntry,通过调试该函数,很容易可以找出驱动程序的派遣函数,接着可以调试分析自己感兴趣的IRP。但是,首先,需要在windbg中设置断点,使得驱动程序加载的时候可以执行单步调试。这里有2种办法可以尝试。      第一种方法,直接通过计算驱动程序的入口地址,下断点即可。比如有些第三方驱动程序,可能会动态加载或者卸载,但是很多时候,再次加载的时候
Windbg驱动DriverEntry函数断点技巧
weixin_33885676的博客
06-29 737
Windbg过滤驱动DriverEntry函数断点技巧 方法1: 1> 先用DeviceTree.exe查看指定的过滤驱动的Load Address(加载地址) 2> 再用LordPE.EXE查看指定过滤驱动文件的入口点地址 3> 计算过滤驱动DriverEntry函数内存地址 DriverEntry函数内存地址 = Load Address + 入口...
windbg断点相关
anna的专栏
12-07 491
WinDBG提供了多种设断点的命令: bp 命令是在某个地址 下断点, 可以 bp 0x7783FEB 也可以 bp MyApp!SomeFunction 。 对于后者,WinDBG 会自动找到MyApp!SomeFunction 对应的地址并设置断点。 但是使用bp的问题在于:1)当代码修改之后,函数地址改变,该断点仍然保持在相同位置,不一定继续有效; 2)WinDBG 不会把bp断点
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

kelsel

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值