关于win64驱动开发下断方法

最新推荐文章于 2023-03-19 23:36:36 发布
最新推荐文章于 2023-03-19 23:36:36 发布
阅读量213 收藏
点赞数
分类专栏: 驱动学习过程记录(不具备正确性) 文章标签: 驱动程序
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/BCMY0110/article/details/104480414
版权

参考链接

新建一个.asm 汇编文件
在这里插入图片描述
内容如下
在这里插入图片描述

.Code
public b1
b1 PROC
int 3
b1 ENDP
END

然后这么下断
在这里插入图片描述

#include<ntddk.h>

void unLoad(PDRIVER_OBJECT pDriverObject)
{
	DbgPrint("+++++++++++++驱动卸载+++++++++++++");
}

NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObject, PUNICODE_STRING pRegPath)
{

	__debugbreak();

	DbgPrint(" 驱动加载+ %wZ", pRegPath);

	pDriverObject->DriverUnload = unLoad;


	return STATUS_SUCCESS;
}
清晨与猫鱼
关注
专栏目录
攻破Win7~Win10 PatchGuard(KPP & DSE)【支持Win10 TH1/TH2/RS1/RS2】【WIN64内核越狱】
zhuhuibeishadiao
01-13 1万+
最新状态:已放弃Win7.Win8,8.1的静态Patch,专注于Win10 PatchGuard. 1.重启内核越狱,支持Win7~Win10 Win10 10.0.10240.0 ~ Win10.10.0.14939.693(2017.1.11更新至693最新版) Win8 6.3.9600.18289 ~ 6.3.9600.18378(已停止更新) Win7 6.1.7601.177
驱动开发:内核监控进程与线程回调
m0_56069948的博客
10-23 636
系统中监控进程与线程可以使用微软提供给我们的两个新函数来实现,此类函数的原理是创建一个回调事件,当有进程或线程被创建或者注销时,系统会通过回调机制将该进程相关信息优先返回给我们自己的函数待处理结束后再转向系统层。那么会提示连接的设备没有发挥作用,我们则成功拦截了这次打开,当然如果在打开进程之前扫描其特征并根据特征拒绝进程打开,那么就可以实现一个简单的防恶意程序,进程监控在防恶意程序中也是用的最多的。如上,该函数只有两个参数,第一个参数是回调函数,第二个参数是是否注销,通常在驱动退出时可以传入。
如何使用windbg在驱动加载时下断
一介渔夫
10-17 8991
首先说说应用层的调试吧.当我们在调试windows可执行程序的时候,通过将PE文件头中的ImageBase和AddressOfEntryPoint相加,从而得出第一条指令的地址.针对这个地址下断之后目标程序就中断在了了入口处.但是这个方法驱动调试的时候却有心无力.这是因为可执行程序都是首先被加载到各自的私有地址空间,他们不会有地址冲突.然而驱动程序运行在内核里面,所有的驱动程序共享一个地址空间.
内核驱动隐藏【绕过PatchGuard】
WorryFree
05-17 2597
内核驱动隐藏【绕过PatchGuard】 心血来潮~测试隐藏驱动还不触发PG,看看有探讨的同学不~
Windows10 Ring0下过PatchGuard隐藏进程
最新发布
zcy5157912的博客
03-19 400
Windows10 x64亲测可用
HideDriver_hidedriver_TP_驱动隐藏_驱动断链隐藏_隐藏驱动
09-11
1. **驱动断链隐藏**:这种方法涉及到修改驱动的加载过程,使其不被系统正常识别。通过断开驱动系统加载器之间的链接,使得驱动在运行时不易被检测到。例如,可以改变驱动的导出函数表,或者使用非标准的加载机制...
驱动签名 隐藏进程 保护进程 多种方式 保护进程的 驱动
05-18
64位驱动程序尤其需要驱动签名,因为它们运行在更高的权限级别上,未经签名的驱动可能会对系统稳定性造成严重影响。驱动签名涉及一个数字证书,由权威机构颁发,证明驱动的来源和代码完整性。 “隐藏进程”是一种...
windows驱动开发3:第一个驱动及调试
longkuis的专栏
04-29 1924
第一个驱动helloworld编写及双机调试
攻破 PatchGuard
01-14
攻破 PatchGuard mcafee
绕过PatchGuard
WorryFree
09-23 1227
初级版 - 绕过PatchGuard
[列表]Tesla.Angela写的一些与WINDOWS底层编程相关的PoC
zz_strive_2012的专栏
11-14 1183
注意:以下PoC全部没有源码,而且全部加了VMP。 [视频]RING3重启删除360卫士(支持WIN7~WIN10) http://www.m5home.com/bbs/thread-8040-1-1.html [测试]VT相关的PoC:不触发PG的(S)SSDT HOOK、无痕R3 HOOK、无限硬断(WIN64) http://www.m5home.com/bbs/thre
Windows64位驱动调试方法
jmhIcoding
03-10 5112
尴尬的境地 囧 很多时候,我们写的驱动64位的,而这种64位驱动是不可以在代码中加入_asm int 3 中断来实现在合适的地方进入中断。因为vs此时会报:error C4235: 使用了非标准扩展: 不支持在此结构上使用“_asm”关键字 。 而目标平台又要求一定是64位的,因此这就很尴尬了。 好在,使用WinDBG可以解决这个问题。核心原理是WinDbg向gdb一样支持 按函数名下断点。因此...
Win10 PatchGuard静态破解更新
zhuhuibeishadiao
01-12 6254
前段时间有朋友问 http://blog.csdn.net/zhuhuibeishadiao/article/details/54410029 这个开源的还是会蓝屏 具体我没试,下面说下通杀的破解方法 KiFilterFiberContext 下第三个call(没有符号) 内部48 8b c4 ->>b0 1 c3 即头部改 b0 01 mov al,1 c3 retn
WinDbg下断驱动入口
莫灰灰的专栏
05-28 2270
这个问题虽然是比较老了,但是看雪上还有同学提到,在这里做个总结,给像我这样的新手看看。   1)直接修改入口 用c32asm或者其他PE编辑工具,修改开头的几个字节,改成cc,即int 3。这样,驱动加载的时候就会断在这里了。 ps:这种方法对于有校验的驱动可能不太适用。 2)下断IopLoadDriver 这里的EDI其实就是DriverObject。Driv
VT笔记(2)突破patchguard保护完成X64Hook
kernweak的博客
06-24 9066
win10,2018新年版后好像不支持了? MSR hook MSR (Model Specific Registers)是CPU 的一组64 位寄存器,可以分别通过RDMSR 和WRMSR 两条指令进行读和写的操作,前提要在ECX 中写入MSR 的地址(MSR地址就像一个宏STAR,LSTAR,CSTAR,SFMASK)。对于RDMSR 指令,将会返回相应的MSR 中64bit 信息到(ED...
驱动开发入门 - 之二:Win7-x64 + VMWare (Win7-x64) + WinDbg 双机调试环境搭建
热门推荐
ζёСяêτ - 小優YoU
10-13 1万+
驱动开发入门 - 之二Win7-x64 + VMWare (Win7-x64) + WinDbg双机调试环境搭建—— By EXP 2017-10-08 完整原文下载(转载请注明出处,仅供分享学习,严禁用于商业用途) 1. 概述 1.1. 前言  适读人群:具备良好的C/C++开发经验,一定的逆向工程基础。   前置阅读:《驱动开发入门 - 之一 :Win7 SP1 x64 驱动开发
Win7 SP1 x64驱动开发环境搭建指南
"驱动开发入门-之一:Win7 SP1 x64 驱动开发环境搭建" 本文主要针对已经具备C/C++编程经验和一定逆向工程基础的读者,讲解如何在Windows 7 Service Pack 1 (SP1) 64位系统上搭建基于Windows Driver Kit (WDK) 7600...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值