关于win64驱动开发下断方法

最新推荐文章于 2023-03-19 23:36:36 发布
原创 最新推荐文章于 2023-03-19 23:36:36 发布 · 259 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#驱动程序

本文介绍了一个简单的汇编程序实例,展示了如何在.asm文件中定义公共过程,并通过调试断点的方式在驱动加载时进行调试。此外,还提供了一个Windows驱动程序的示例代码,演示了如何使用__debugbreak()函数和DbgPrint宏进行调试输出。

参考链接

新建一个.asm 汇编文件
在这里插入图片描述
内容如下
在这里插入图片描述

.Code
public b1
b1 PROC
int 3
b1 ENDP
END

然后这么下断
在这里插入图片描述

#include<ntddk.h>

void unLoad(PDRIVER_OBJECT pDriverObject)
{
	DbgPrint("+++++++++++++驱动卸载+++++++++++++");
}

NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObject, PUNICODE_STRING pRegPath)
{

	__debugbreak();

	DbgPrint(" 驱动加载+ %wZ", pRegPath);

	pDriverObject->DriverUnload = unLoad;


	return STATUS_SUCCESS;
}
内核驱动隐藏【绕过PatchGuard】
WorryFree
05-17 3439
内核驱动隐藏【绕过PatchGuard】 心血来潮~测试隐藏驱动还不触发PG,看看有探讨的同学不~
攻破Win7~Win10 PatchGuard(KPP & DSE)【支持Win10 TH1/TH2/RS1/RS2】【WIN64内核越狱】
热门推荐
zhuhuibeishadiao
01-13 1万+
最新状态:已放弃Win7.Win8,8.1的静态Patch,专注于Win10 PatchGuard. 1.重启内核越狱,支持Win7~Win10 Win10 10.0.10240.0 ~ Win10.10.0.14939.693(2017.1.11更新至693最新版) Win8 6.3.9600.18289 ~ 6.3.9600.18378(已停止更新) Win7 6.1.7601.177
如何使用windbg在驱动加载时下
一介渔夫
10-17 9241
首先说说应用层的调试吧.当我们在调试windows可执行程序的时候,通过将PE文件头中的ImageBase和AddressOfEntryPoint相加,从而得出第一条指令的地址.针对这个地址下之后目标程序就中在了了入口处.但是这个方法驱动调试的时候却有心无力.这是因为可执行程序都是首先被加载到各自的私有地址空间,他们不会有地址冲突.然而驱动程序运行在内核里面,所有的驱动程序共享一个地址空间.
Windows10 Ring0下过PatchGuard隐藏进程
zcy5157912的博客
03-19 577
Windows10 x64亲测可用
精选资源
原版win10-进程保护驱动源码_c_保护驱动_进程保护_win10驱动保护_win10进程保护
09-11
Win10-进程保护驱动源码项目,正如其标题所示,是专门针对Windows 10操作系统设计的,旨在提供一种驱动级别的保护机制,以确保应用程序的安全运行。本文将深入探讨这个项目的核心概念、技术实现以及它在Windows 10...
精选资源
HideDriver_hidedriver_TP_驱动隐藏_驱动链隐藏_隐藏驱动
09-11
1. **驱动链隐藏**:这种方法涉及到修改驱动的加载过程,使其不被系统正常识别。通过驱动系统加载器之间的链接,使得驱动在运行时不易被检测到。例如,可以改变驱动的导出函数表,或者使用非标准的加载机制...
权限维持_Windows内核_驱动链隐藏技术1
08-03
总结来说,"权限维持_Windows内核_驱动链隐藏技术1"是关于如何在Windows系统内核层面利用驱动链来达到权限维持目的的一种技术。攻击者通过查找和隐藏恶意驱动,以逃避安全工具的检测。然而,这种方法并非完全...
Win10下VS2019驱动开发环境搭建(二)双机调试
m0_48995611的博客
01-05 1万+
本文讲了如何使用VS2019在VMware虚拟机上进行双机调试。 环境:VS2019 Community + Windows10专业版 虚拟机环境(VMware Workstation 16 Pro):Windows10家庭版 VMware虚拟机可以直接在官网下载(密钥可以直接百度搜到):参考下载链接 (操作系统自行安装) 1.虚拟机设置 添加串行端口 虚拟机设置中,先移除打印机,然后添加串口。(打印机可能会占用COM1端口,所以先移除,当然使用其他端口也可以,但相关设置都要更改为相应的端口) 串口设置
Win64 驱动内核编程-21.DKOM隐藏和保护进程
天使也掉毛
03-23 1万+
DKOM隐藏和保护进程 主要就是操作链表,以及修改节点内容。 DKOM 隐藏进程和保护进程的本质是操作 EPROCESS 结构体,不同的系统用的时候注意查下相关定义,确定下偏移,下面的数据是以win64为例。 关 注 两 个 成 员 : ActiveProcessLinks 和 Flag 。 ActiveProcessLinks 把各个EPROCESS 结构体连接成“双向链表”,ZwQ
攻破 PatchGuard
01-14
攻破 PatchGuard mcafee
绕过PatchGuard
WorryFree
09-23 2066
初级版 - 绕过PatchGuard
Windbg对过滤驱动DriverEntry函数下断点技巧
afsafs1231的博客
10-11 242
方法1: 1> 先用DeviceTree.exe查看指定的过滤驱动的Load Address(加载地址) 2> 再用LordPE.EXE查看指定过滤驱动文件的入口点地址 3> 计算过滤驱动的DriverEntry函数内存地址 DriverEntry函数内存地址 = Load Address + 入口点地址 例子: 1> Load Address = 0xFAAB...
[列表]Tesla.Angela写的一些与WINDOWS底层编程相关的PoC
zz_strive_2012的专栏
11-14 1227
注意:以下PoC全部没有源码,而且全部加了VMP。 [视频]RING3重启删除360卫士(支持WIN7~WIN10) http://www.m5home.com/bbs/thread-8040-1-1.html [测试]VT相关的PoC:不触发PG的(S)SSDT HOOK、无痕R3 HOOK、无限硬WIN64) http://www.m5home.com/bbs/thre
Win10 PatchGuard静态破解更新
zhuhuibeishadiao
01-12 6489
前段时间有朋友问 http://blog.csdn.net/zhuhuibeishadiao/article/details/54410029 这个开源的还是会蓝屏 具体我没试,下面说下通杀的破解方法 KiFilterFiberContext 下第三个call(没有符号) 内部48 8b c4 ->>b0 1 c3 即头部改 b0 01 mov al,1 c3 retn
Windows64驱动调试方法
jmhIcoding
03-10 5531
尴尬的境地 囧 很多时候,我们写的驱动64的,而这种64驱动是不可以在代码中加入_asm int 3 中来实现在合适的地方进入中。因为vs此时会报:error C4235: 使用了非标准扩展: 不支持在此结构上使用“_asm”关键字 。 而目标平台又要求一定是64的,因此这就很尴尬了。 好在,使用WinDBG可以解决这个问题。核心原理是WinDbg向gdb一样支持 按函数名下断点。因此...
WinDbg下驱动入口
莫灰灰的专栏
05-28 2336
这个问题虽然是比较老了,但是看雪上还有同学提到,在这里做个总结,给像我这样的新手看看。   1)直接修改入口 用c32asm或者其他PE编辑工具,修改开头的几个字节,改成cc,即int 3。这样,驱动加载的时候就会在这里了。 ps:这种方法对于有校验的驱动可能不太适用。 2)下IopLoadDriver 这里的EDI其实就是DriverObject。Driv
驱动开发入门 - 之二:Win7-x64 + VMWare (Win7-x64) + WinDbg 双机调试环境搭建
ζёСяêτ - 小優YoU
10-13 1万+
驱动开发入门 - 之二Win7-x64 + VMWare (Win7-x64) + WinDbg双机调试环境搭建—— By EXP 2017-10-08 完整原文下载(转载请注明出处,仅供分享学习,严禁用于商业用途) 1. 概述 1.1. 前言  适读人群:具备良好的C/C++开发经验,一定的逆向工程基础。   前置阅读:《驱动开发入门 - 之一 :Win7 SP1 x64 驱动开发
SSDTHook的原理
谢绝(无视)留言与私信
02-08 1006
前言分析了一个cm, cm中释放了一个驱动, 进行了SSDTHook, 用于保护cm. IDA的伪码翻译的真渣, 直接编译都过不了(已经将数据类型改对了), 翻译的和反汇编代码也有点对不上, 从反汇编开始自己翻译. 从反汇编层面看SSDTHook时, 先复习一下SSDT原理, 用Windbg做下试验.记录 /** // SSDT的原理 // 假设要Hook ZwQu
HL-340驱动程序支持WIN7/WIN8 64系统
值得注意的是,尽管HL-340功能强大且成本低廉,但在某些高负载或长时间运行场景下可能出现丢包、连等问题,部分原因是驱动优化不足或电源管理策略冲突所致。因此,选择经过充分测试和广泛验证的驱动版本至关重要。...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值