windbg拦截驱动

最新推荐文章于 2022-10-26 14:24:18 发布
最新推荐文章于 2022-10-26 14:24:18 发布
阅读量476 收藏 1
点赞数
分类专栏: windbg命令收集
驱动的加载有几种方式,查看CreateService就可以知道。
1、SERVICE_BOOT_START = 0x00000000,被系统loader加载,这类驱动是最早加载的。驱动文件必须放在C:\Windows\System32\drivers目录下,因为此时系统只能读注册表,不能打开文件,不能打出调试信息。看了下面的分析就清楚了。
2、SERVICE_SYSTEM_START = 0x00000001,系统初始化完成后才加载的
3、SERVICE_DEMAND_START = 0x00000003,手动加载

环境:win7 32bit,
目标:拦截hookport.sys
方法:
通常拦截驱动,可以在nt!MmLoadSystemImage下断点。
1、显示驱动全名并显示驱动基址:
bp nt!MmLoadSystemImage".if(1){!ustr poi(esp+4); dd poi(esp+0x18);}.else{gc;}"
poi(esp+0x18)就是保存驱动基址的指针ImageBaseAddress
2、nt!MmLoadSystemImage返回后,dd ImageBaseAddress,显示的就是驱动基址
3、给驱动起点函数下断点
bp 驱动基址+poi(poi(驱动基址+0x3c)+ 驱动基址+0x28)
4、运行,就停在驱动的起点函数

NTSTATUS
MmLoadSystemImage (
    IN PUNICODE_STRING ImageFileName,
    IN PUNICODE_STRING NamePrefix OPTIONAL,
    IN PUNICODE_STRING LoadedBaseName OPTIONAL,
    IN BOOLEAN LoadInSessionSpace,
    OUT PVOID *ImageHandle,
    OUT PVOID *ImageBaseAddress
    )
点击图片以查看大图图片名称: xuetr333.png查看次数: 1073文件大小: 51.4 KB文件 ID : 63952

但是hookport.sys就不能用上面的方法来,因为它的加载类型是SERVICE_BOOT_START,如下图:
点击图片以查看大图图片名称: 360.png查看次数: 1057文件大小: 27.6 KB文件 ID : 63953
通过研究系统,可以用下面的断点:
下断点bp nt!PnpInitializeBootStartDriver".if(1){!ustr poi(esp+8);}.else{gc;}",此时可以显示驱动的注册表信息
点击图片以查看大图图片名称: 222.png查看次数: 1062文件大小: 21.6 KB文件 ID : 63954
断下来后,在nt!IopInitializeBuiltinDriver里面找第一个call    dword ptr [eax],
点击图片以查看大图图片名称: 3333.png查看次数: 1057文件大小: 8.0 KB文件 ID : 63955
下断点即可,跟进去就是驱动的入口点了
点击图片以查看大图图片名称: 444.png查看次数: 1062文件大小: 22.2 KB文件 ID : 63956

其实可以计算  INIT:007A79CF                 call    dword ptr [eax]  与nt的rva,直接下断点就可以了  bp nt基址+0x003A79CF


==================================================================================================

kd> sxe ld:hookport.sys
kd> g
nt!DbgLoadImageSymbols+0x47:
83a55fa6 cc              int     3
kd> lmvm hookport
start    end        module name
8f263000 8f284e80   hookport (deferred)   

kd> bp 8f263000+poi(poi(8f263000+3c)+8f263000 +28)

kd> g

类似这样,就到了驱动的driverentry了

我都是如此调试360的几个驱动的....应该没有意外的

==================================================================================================

对于 hookport.sys , 我这 sxe ld 也不能下断。
我用的这样的方法, 双机调试的时候会先中断到调试器,然后:

kd> lm
start    end        module name
804d8000 806d0480   nt         (pdb symbols)  
806d1000 806f1300   hal        (deferred)             
f851d000 f852f200   Hookport   (deferred)  

kd> bp f851d000 + poi(poi(f851d000 + 3c) + f851d000 + 28)
*** ERROR: Module load completed but symbols could not be loaded for Hookport.sys

kd> g
Breakpoint 0 hit
Hookport+0xff85:
f852cf85 a1c8c952f8      mov     eax,dword ptr [Hookport+0xf9c8 (f852c9c8)]

cosmoslife
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
拦截驱动文件,最好用的驱动拦截小工具
07-19
拦截驱动文件 安装任何软件安装驱动!最好用的驱动拦截小工具
拦截驱动加载
陈刚编程心得与知识集
01-24 1715
在做一个程序,hookzwloaddriver来拦截驱动加载,但是碰到个问题,这个函数的原型是:   NTSTATUS   ZwLoadDriver(   INPUNICODE_STRINGDriverServiceName   );   他只有一个参数,代表着驱动的服务名,我是通过读取注册表\Registry\Machine\System\CurrentControlSet\Servi
驱动拦截工具Safe3Monitor
04-08
杀毒软件等都不能拦截所以驱动,这个是可以拦截的,可以拦截驱动加载,而可以获得驱动文件来静态分析的好工具,虽说不能拦截所有驱动,但常规的都没问题,我想应该能满足大部分人的需求,不过最好要是纯净的系统,估计搞这个的都能满足吧
驱动防火墙,可以拦截驱动加载
11-29
非常好用的拦截加载驱动的工具,可以拦截驱动加载。
WFP驱动--进程规则拦截
03-20
调试WFP驱动比用户模式应用程序复杂得多,通常需要使用WinDbg等工具,并结合内核模式调试技巧。此外,由于涉及到系统核心,测试应覆盖各种场景,确保驱动在不同条件下都能正确运行。 总的来说,"WFP驱动--进程规则...
驱动层Hook系统内核调用的,拦截对进程的操作.驱动编程的绝好样例.zip
01-27
9.调试驱动:利用WinDbg等工具,开发者可以调试驱动程序,定位和解决问题。 本压缩包中的各个示例(hook1至hookA)可能涵盖了上述部分或全部知识点,通过分析和实践这些示例,学习者可以逐步掌握驱动层Hook的核心...
驱动学习笔记
08-26
这可能包括使用驱动程序来保护游戏的执行环境,拦截非法的系统调用,或者在硬件层面对数据进行加密。这类驱动的开发需要深入理解系统安全、硬件接口和编程技术。 学习驱动开发,你需要掌握以下知识点: 1. **...
WDM编程编写文件过滤驱动程序 源码
11-20
文件过滤驱动程序是一种特殊的WDM驱动,它们位于文件I/O路径中,用于在数据传输到或从文件系统时拦截和处理I/O请求。这些驱动程序在系统中扮演着至关重要的角色,因为它们可以在用户模式应用与文件系统之间添加额外...
《Windows 驱动程序开发与调试》
心之所向,身之所往
02-23 4048
第一部分:Windows系统架构概览(1小时) 概述Windows 操作系统的架构和系统组件,包括HAL、内核、执行体、系统进程(IDLE、SMSS.EXE、WinLogon.EXE)和子系统等。介绍重要的系统文件:NTOSKRNL.EXE、HAL.DLL、CLFS.SYS、CI.DLL、PSHED.DLL、Win32K.SYS 等。 试验一:(15 分钟)使用WinDBG 的本地内核调试功能
如何使用windbg驱动加载时下断
一介渔夫
10-17 8851
首先说说应用层的调试吧.当我们在调试windows可执行程序的时候,通过将PE文件头中的ImageBase和AddressOfEntryPoint相加,从而得出第一条指令的地址.针对这个地址下断之后目标程序就中断在了了入口处.但是这个方法在驱动调试的时候却有心无力.这是因为可执行程序都是首先被加载到各自的私有地址空间,他们不会有地址冲突.然而驱动程序运行在内核里面,所有的驱动程序共享一个地址空间.
Windows内核编程(四)-服务的基本操作
qq_40277608的博客
11-18 923
服务的基本操作 驱动以Windows服务的方式存在,服务有不同的类型,驱动只是其中一种类型的服务。本小节把驱动等同于服务。 服务的基本操作有注册(创建)、启动、暂停、停止操作。但内核驱动类型的服务不支持暂停操作。 服务管理器 的主要工作是管理操作系统上的所有服务,其中包括跟踪、维护服务的各种状态,以及对服务发起具体的操作。开发者可以通过服务管理器来查询服务状态、修改服务配置、注册(创建)新服务、启动服务等。开发者通过API操作服务,API内部首先会通过一个称为"LPC(本地方法调用)"的方式,把请求发送给服
Error 1275 - 此驱动程序被阻止加载
Ghjhfssfgk的博客
02-22 6471
现摘录网上相关论述如下; 1 遇到驱动程序阻止加载,有多种原因,可以参考如下解决方法: 方法一:   1.右键桌面上的“计算机”→“属性”。   2.选择左边选项卡的“高级系统设置”。   3.切换到左边的“硬件”选项卡→选择第二个“设备安装设置”。   4.在弹出来的窗口选择“否”→第三项→“从不安装”→“确定”即可。      方法二:   1.点击开始菜单(或使用“Win+R”键)→键入“g...
隐藏驱动完整攻略(猥琐篇)
blackbean的专栏
09-20 4380
基础篇里说的那些东西搞完以后,任何正常的位置都找不到我们的Driver了,此时相应的手段基本上只剩下暴搜PE镜像或暴搜DriverObject了。而且,基础篇讲的那些东西,因为都是M$定好的一些格式和位置,代码怎么写都差不多,固定的路子而已。而抹PE镜像或抹DriverObjec
教材性质的病毒代码(ASM)
04-25 2975
 VIRUS CODE BY VXK/C.V.C.586.modelflatOption Casemap :None includeuseful.incinclude win32.incincludemz.incincludepe.inc.Data <!--google_ad_client = "pub-9375039986094315";google_ad_width = 468
驱动开发:内核运用LoadImage屏蔽驱动
最新发布
CSDN
10-26 1万+
强制返回的方法意外,屏蔽驱动加载还可以使用另一种方式实现禁用模块加载,例如当驱动被加载首先回调函数内可以接收到,当接收到以后直接调用。我们看下驱动加载器,提示的信息是拒绝访问,因为这个驱动其实是加载了的,只是入口处被填充了返回而已。加载这段驱动程序,当有DLL文件被加载后,则会强制弹出,从而实现屏蔽模块加载的作用。无法实现参数控制,而如果我们想要控制特定驱动的加载则需要自己做一些事情来实现,如下。节点,该节点里面就是被加载驱动入口,通过汇编在驱动头部写入。返回指令,即可实现屏蔽加载特定驱动文件。
PsSetLoadImageNotifyRoutine loadImageNotifyRoutine 中拿全路径
编程论坛
06-19 1066
PsSetLoadImageNotifyRoutine#include &lt;ntifs.h&gt;#include &lt;ntddk.h&gt;#include &lt;Ntstrsafe.h&gt;#include &lt;fltKernel.h&gt;//删除指针#define SafeFreeDelete(pData) { if(pData){ExFreePool(pData);pDa...
Windbg驱动程序高级调试实战
"驱动程序高级调试是一份包含62页的PPT,专注于Windbg工具的使用,讲解了驱动程序的高级调试技术和方法。" 在软件开发领域,尤其是操作系统和设备驱动程序的开发中,调试是一项至关重要的任务。驱动程序高级调试...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值