Windows XP启动时驱动加载顺序调试

最新推荐文章于 2024-01-26 13:37:49 发布
最新推荐文章于 2024-01-26 13:37:49 发布
阅读量4.1k 收藏 5
点赞数 1
分类专栏: 驱动开发学习 文章标签: windows xp system 虚拟机 360 service
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cosmoslife/article/details/7851656
版权

Windows XP启动时驱动加载顺序调试:


说明:因为这里的调试采用的是针对IopLoadDriver下断的方法,无法调试到BOOT启动加载的驱动.
=============================================================================
 操作系统版本:Windows XP Professional
Version 2002
Service Pack 3

指令内存地址0x8057677c
nt!IopLoadDriver+0x66a    ff572c call dword ptr [edi+2Ch]这是进入DriverEntry的指令

指令返回地址0x8057677c+3字节指令ff572c就是call返回时要出栈的指令地址,即0x8057677f

 在此之前先补习补习,以下是网上搜到的关于驱动加载顺序的设置:
------------------------------------------------------------------------------
在系统初始化的时候,决定驱动程序在什么时候被载入的信息保存在注册表中。
最早的一批驱动是由ntldr载入内存的(仅仅是载入)
第二批是由IO管理器载入内存的
第三批是由 SCM(Service Control Manager) 载入的

一个驱动在第几批中被载入是由 HKLM\\SYSTEM\\CurrentControlSet \\Services\\驱动名\\Start 的值来决定。
该值为0,第一批被载入。该值为1,第二批被载入。该值为2,第三批被载入。

对于同一批驱动中的驱动,按驱动所在组的先后载入。
组的先后顺序由 HKLM\\SYSTEM\\CurrentControlSet\\Control \\ServiceGroupOrderList 决定。
每个驱动的 HKLM\\SYSTEM\\CurrentControlSet\\Services\\驱动名\\Group 决定了驱动所属的组,

如果没有这个 Services驱动名Group ,那么就在所有组之后。对于同一个组中的驱动,按驱动的Tag 的先后载入。
Tag的先后顺序由 HKLM\\SYSTEM\\CurrentControlSet\\Control\\GroupOrderList组名决定。
每个驱动的 HKLM\\SYSTEMCurrent\\ControlSet\\Services\\驱动名\\Tag 决定了驱动在组中的Tag。
这个Tag值的大小由驱动安装的先后顺序决定,先安装的Tag值小,后安装的Tag值大。
感吧一句!在Windows中看来注册表真的是一大管家啊,看来以后有机会多研究研究关于注册表的事情。

言归正传
以下是开机时加载的驱动,这里是按加载的顺序列出的。
------------------------------------------------------------------------------
i8042prt!GsDriverEntry <------功能------> PS/2 键盘使用键盘自带的 i8042prt.sys驱动程序
kbdclass!GsDriverEntry <------功能------>  DDK 所附的源码中有 i8042prt 和 kbdclass 的源码,
                                          分别位于 ...\NTDDK\src\input\pnpi8042 ,
                                          ...\NTDDK\src\input\kbdclass 。
---------------------------vmmouse这个应该是虚拟机的驱动程序
mouclass!GsDriverEntry <------功能------>
parport!GsDriverEntry  <------功能------>
serial!GsDriverEntry   <------功能------>
serenum!GsDriverEntry  <------功能------>
fdc!GsDriverEntry      <------功能------>
imapi!GsDriverEntry    <------功能------>
cdrom!GsDriverEntry    <------功能------>
redbook!GsDriverEntry  <------功能------>
---------------------------vmx_svga这个也应该是虚拟机的驱动
usbuhci!GsDriverEntry
---------------------------vmxnet.sys这个也应该是虚拟机的驱动
es1371mp!DriverEntry
usbehci!GsDriverEntry
CmBatt!GsDriverEntry
intelppm.sys
fsvga!DriverEntry
audstub!!DriverEntry
rasl2tp!GsDriverEntry
ndistapi!GsDriverEntry
ndiswan!GsDriverEntry
raspppoe!GsDriverEntry
raspptp!GsDriverEntry
psched!GsDriverEntry
msgpc!GsDriverEntry
ptilink!DriverEntry
raspti!DriverEntry
rdpdr!GsDriverEntry
termdd!GsDriverEntry
swenum!GsDriverEntry
update!GsDriverEntry
mssmbios!GsDriverEntry
NDProxy!GsDriverEntry
flpydisk!GsDriverEntry
usbhub!GsDriverEntry
gameenum!GsDriverEntry
Sfloppy!GsDriverEntry
---------------------------360Box因为安装了解360有这么一个驱动出来
Cdaudio!DriverEntry
Fs_Rec!DriverEntry
Null!DriverEntry
Beep!DriverEtnry
---------------------------360SelfProtection又是360搞的驱动
vga!GsDriverEntry
mnmdd!DriverEntry
RDPCDD!DriverEntry
Msfs!GsDriverEntry
Npfs!GsDriverEntry
rasacd!DriverEntry
ipsec.sys
-----------------------360netmon.sys从这里到下面的tcpip.sys驱动的加载先后顺序我们可以看出来360的网络监控先于系统的tcpip.sys的加载
tcpip!GsDriverEntry
netbt!GsDriverEntry
ws2ifsl!DriverEntry
afd!GsDriverEntry
netbios!GsDriverEntry
-----------------------vmhgfs.sys
rdbss!GsDriverEntry
------------------------qutmipc.sys
------------------------qutmdrv.sys
mrxsmb!GsDriverEntry
------------------------360AntiHacker.sys
Fips!GsDriverEntry
------------------------Efimon.sys
BAPIDRV.SYS
Cdfs!GsDriverEntry    \
                       >这两项驱动在调时发现可能加载的先后顺序也会颠倒一下的
wanarp!GsDriverEntry  /
usbccgp!GsDriverEntry
hidusb!GsDriverEntry
mouhid!DriverEntry

屏幕画面的表现:windows开机画面的Windows XP在此时出现,在加载一些个人设置

wdmaud!DriverEntry
sysaudio!GsDriverEntry
splitter!GsDriverEntry
aec!GsDriverEntry
swmidi!GsDriverEntry
DMusic!GsDriverEntry
kmixer!GsDriverEntry
---------------------------drmkaud.sys

开机画面已过,并出现了桌面

ParVdm!DriverEntry
----------------------------wmmemctl.sys
srv!GsDriverEntry
Fastfat!GsDriverEntry原来文件系统驱动来的这么晚啊!
HTTP!GsDriverEntry

至此,系统已经完全加载运行起来了,同时当你进行计算机操作的时候,
如果是在系统中打开某个硬盘的话,会再次中断下来,些时针对的是kmixer.sys驱动,
针对这些驱动在操作系统的功能作用,以后慢慢的再研究研究.

在上面的驱动列表中我没有发现我们经常关注的ndis.sys驱动被加载,难道是BOOT是就加载了吗?


以后再持续更新!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!


cosmoslife
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Windows驱动加载顺序
摔不死的笨鸟的博客
11-02 2210
开机内核初始化后,加载顺序前10榜没几个是看起来正常的驱动。是因为这些看起来.dll后缀的驱动比较底层,甚至虚拟机都没有办法模拟,所以比较特别。 Windows驱动分为Boot Start、System Start、AutoStart和Demand Start四种启动类型,分别代表驱动注册表中Start键值的0\1\2\3,驱动加载时优先加载Boot Start型驱动,按照0、1、2、3类驱动启动类型来加载驱动。优先加载驱动优先获得到更早的权限,拿到主机的权限。 2017年出现的Rootkit狼人杀就把.
Windows驱动(加载驱动)
GNAIXGNAHZ的博客
02-08 1310
Windows驱动(加载驱动)
windows驱动加载顺序
weixin_33709219的博客
06-13 1120
2019独角兽企业重金招聘Python工程师标准>>> ...
Windows启动阶段驱动程序加载顺序
wangjiabin2007的专栏
09-01 5010
驱动程序在注册表中键值的设置,可以定制驱动程序的加载顺序。牵涉到的注册表的键值Type,Start,Tage,Group。其中Group,tag值的使用这里进行了详细的解释。type类型在前面的文章中已经有描述了,start类型应该就不用再多讲了。
NT式驱动的基本结构1 - 驱动加载过程与驱动入口函数
最新发布
wendyWJGU的博客
01-26 515
NT式驱动的基本结构 一
卡皇XP驱动
07-03
【卡皇XP驱动】是一款专为Windows XP操作系统设计的笔记本电脑驱动程序集合,旨在提供简单易用的安装体验。在IT行业中,驱动程序是连接硬件设备与操作系统之间的桥梁,它们负责解释并执行来自操作系统的指令,使硬件...
BIOS模拟器、FDISK模拟器、windowsXP模拟安装
08-02
BIOS是计算机启动时加载的第一个软件,它负责初始化硬件设备并提供操作系统与硬件之间的接口。BIOS模拟器允许用户在不实际更改或接触物理硬件的情况下,模拟和测试BIOS设置。这对于教学和故障排除是极其有益的,因为...
Windows引导代码分析资料
09-11
对于Windows系统,MBR中的引导程序会加载到内存并运行NTLDR(NT Loader),这是Windows XP及更早版本的引导加载器。而在Windows Vista及以后的版本,这一角色由BOOTMGR(Boot Manager)接手。 接下来,我们关注文件...
电脑高手必备 Windows系统35招实用技巧
06-11
计算机不能正常启动时,就会进入Windows XP启动的高级选项菜单,在这里 可以选择除正常启动外的8种不同的模式启动Windows XP。请问这些模式分别 代表什么意思?  (1)安全模式:选用安全模式启动Windows XP时,...
WDM设备驱动程序开发
12-22
驱动程序通常由一个或多个.sys文件组成,它们按照特定的顺序加载并处理I/O请求。 2. **驱动程序模型**:WDM模型包括了Filter驱动和Function驱动。Function驱动是最接近硬件的驱动,负责与硬件的直接通信。Filter...
Autoruns 一个查看windows启动项的很全面的软件
12-10
针对Windows操作系统的病毒是越来越多了,其启动方法也千奇百怪,让人防不胜防,使用此软件能清楚的列出所有启动项,非常详细!
Windows驱动加载工具DriverMonitor
01-10
Windwos驱动加载工具DriverMonitor,非常的好用。DriverStudio下的DriverMonitor.exe驱动加载调试工具。密码123
Windows XP系统的启动过程
不忘初心,护天下安全!
01-06 3853
离大三上学期结束不足半月,至此已了解掌握了许多有关程序运行的层次化知识。比如一个简单的QQ,从点击启动按钮开始,调用应用层的程序如C#代码,调用框架层的程序如.NET开发框架函数,调用操作系统的程序,汇编层次的程序,使用CPU的指令集,再到后面的晶体管逻辑、集成电路、电流的通断等等,自己对一个程序运行的理解,是由外入内,由高到低的过程。看了一篇关于windows系统启动工作原理的文章,才忽然发现学...
优化“启动和故障恢复”设置(xp
suspension·成长之路·操作系统blog
08-10 5786
如果在你的系统崩溃时发现你的硬盘使劲儿的响,那是因为Windows XP正在写DUMP文件呢,对我们来说,如果你不打算把这个文件寄给微软(浪费电话费),那么它又有什么用呢?所以我的建议是关闭。右键单击“我的电脑”,点击属性,点击“高级”,在“启动和故障恢复”一栏中,点击“设置”,其中的“系统失败”一栏中,只选择“自动重新启动”,写入调试信息选择“无”。
windows 内核原理与实现读书笔记之驱动程序初始化
maomao171314的专栏
11-06 926
I/O系统的初始化是在内核的阶段1初始化过程中完成的。主要函数是Phase1InitializationDiscard,它调用IoInitSystem 来初始化I/O系统。 IoInitSystem 初始化工作: 调用IopCreateObjectTypes ,创建7种类型对象:Adapter、DeviceHandler、Controller、Device、Driver、IoCompletion、File,并存放在相应的全局变量中。 WRK中的全局类型对象变量,如下表: CmpKeyObjec
驱动对象、设备对象、设备栈----驱动程序基础概念(一)
ierent168的博客
07-28 616
   刚开始接触驱动的时候,总是搞不清楚驱动对象、设备对象、设备栈等等基本概念,所以对驱动的开发也总是会出现一些奇怪的错误。但想要一下子说明白这些基本结构,也不是一件容易的事,最好的办法就是接触多了,了解多了,慢慢会清楚的。这里做一个总结,也希望能对初学者有所帮助。       一、 为了后面的叙述方便,首先列出驱动对象和设备对象的结构。       1.1 驱动对象结构 DRIVER_
驱动程序无法加载分析
Daniel Ding 的专栏
07-20 2883
<br />最近项目中接连碰到几个和驱动加载相关的问题,所以我决定对这些问题做一个调研。 项目使用的驱动是一个Legency的NT式的协议驱动驱动上边是标准的Legency的NT驱动接口,下边是NDIS接口,运行在Windows 2003 Server SP2上。出现的问题可以描述如下:1. 某些服务器上安装好项目使用的驱动之后不能启动驱动。2. 某些服务器上当驱动卸载之后必须重启才能启动重新安装的驱动。当使用net start <driver name>加载驱动的时候,都出现下列错误: System
我也来无符号定位驱动入口
jizhongqing的专栏
07-03 949
<br />     老是端着IDA扫射实在不爽,没有真实感,还是不时的debug验证下才好。。。。。<br />下面是总结的定位驱动入口的方法,方法还是网上的方法,只是不用每次人工找那条邪恶的call dword ptr[edi+2c] 了。。。<br /> <br />网上说的调试无符号驱动的方法:在IopLoadDriver+XXX的位置下断点:<br />xxx随系统不同版本而不同,每次自己拿眼睛找,很累很累,翻了下手册,发现有好命令可用,越来越发现windbg太过强大,只能用时现学了。。。<br
WindowsXP操作系统:启动与退出详解
启动Windows XP通常是从按下计算机电源按钮开始,经过自检(POST)和加载操作系统过程。启动后,用户会看到熟悉的Windows XP桌面,其背景、图标和任务栏构成了操作界面的基础。 二、退出Windows XP 退出Windows XP...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值