windbg调试驱动不用替换调试机器驱动的方法

已于 2022-11-10 10:30:07 修改
阅读量417 收藏
点赞数
分类专栏: windbg 文章标签: windows
于 2022-11-09 19:54:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/danxuezx/article/details/127776292
版权

      开发windows驱动,通常调试驱动的方法是在主机上编写代码编译通过,将sys和inf拿到被调试机台上安装测试,主机通过windbg连上调试机台。当代码有改动时,将编译好的驱动再拿到被调试机台上安装测试。每次都拷贝到调试机台上安装驱动这个动作有点繁琐,一次操作最快也需要一两分钟,一个大型的驱动从开始开发都开发结束,中间可能有长达上千次的调试过程。光这个复制安装动作就有2000多分钟,这是一笔巨大的时间开支。

       有没有好的方法可以节省这个时间呢,答案是有的。

       这篇文章就介绍一个省去每次的拷贝动作,让在主机上编译好驱动就可以直接在调试机上进行调试的方法。

       方法的核心是需要用到windbg的 .kdfiles命令。

       .kdfiles命令是什么呢?这里给出官方介绍链接:https://learn.microsoft.com/en-us/windows-hardware/drivers/debugger/-kdfiles--set-driver-replacement-map-

        一句话总结在本方法此命令的作用就是通过在主机上设定一个驱动映射的配置文件,重启调试机时windbg会自动将调试机上的某个驱动给替换成主机上指定的驱动。

        假设驱动编译出来的sys文件为: D:\DriverStudy\debug\test.sys,驱动一般安装后会在system32\drivers目录下。则此方法的配置步骤为:

        1、在调试主机上编写一个ini配置文件,比如取名叫  drv_map.ini,放在D:\DriverStudy 目录下(具体位置可以放在你电脑上任意位置)。

       2、drv_map.ini配置文件内容如下:

map
\Systemroot\system32\drivers\test.sys
D:\DriverStudy\debug\test.sys

       3、调试主机上新增一个环境变量,环境变量名:_NT_KD_FILES,值填写drv_map.ini所在的目录,我的环境如下图所示:

    4、windbg通过网络连接连上调试机。

    5、每次编译好驱动后,直接重启调试机,重启后系统就会加载新编译出来的驱动了。成功加载驱动时会输出如下信息:

 KDFILES: Replacing '\SystemRoot\system32\DRIVERS\test.sys' with 'D:\DriverStudy\debug\test.sys'.  File size 394KB.
KdPullRemoteFile(FFFFDC0F6D668380): About to overwrite \SystemRoot\system32\DRIVERS\test.sys and preallocate to 62690
KdPullRemoteFile(FFFFDC0F6D668380): Return from ZwCreateFile with status 0

danxuezx
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
郁金香vc过驱动保护
05-15
郁金香VC++过驱动保护全套 免key版 天異赤提供 教程下载地址获取方法: 第一步:打开下方链接,填写QQ邮箱,系统会往QQ邮箱发一封确认订阅邮件 第二步:打开QQ邮箱查看邮件,确认订阅,订阅成功后系统会自动把下载地址和解压密码一起发送到你QQ邮箱http://list.qq.com/cgi-bin/qf_invite?id=585e150c59f30e1213af9a9352367711b2e45c217582cf35 最近时间有些多,一时对网络游戏的保护机制感兴趣了,来研究了一下,听说QQ系列的TesSafe.sys 有些强,于是拿来看看驱动都做了些什 么.以下是对DNF和QQffo(自由幻想)研究结果(xp sp2) 在网上找了些TesSafe的资料,说TesSafe并不怎么样 现在这个版本保护的结果为:任务管理器中可以看到游戏进程,但OD和CE看不见,更不用说什么调试了,iceword可以 看到EPROCSS,但WSysCheck看 郁金香驱动 不见,自己写程序,也不能注入受保护的游戏进程. 可见,NtOpenProcess被Hook了,恢复SSDT后,没有任何效果,可见是inline hook , 用一般的软件检测一下,没有发现inline hook,看来hook得比较深,在网上一找资料才发现,原来的确够隐藏的 郁金香驱动 以下是上一个TesSafe版本的分析结果 从网上找出来的资料,TesSafe.sys保护原理(DNF的保护,我听说,QQ系列游戏的保护机制都是一样的) ================================================================= 保护得比较没有意思,强度也不高.可能隐藏性稍好一些. 用IDA反汇编TesSafe.sys可以看到: 这个驱动一加载,ExAllocPoolWithTag分配了一块内存,然后将一个函数写进这块内存,接着做好保护,然后 PsCreateSystemThread()创建的 郁金香驱动 线程调用ZwUnloadDriver将驱动卸载。虽 然驱动被卸载了,但是ExAllocPoolWithTag分配的内存仍然在起作用。 具体来看它如何进行保护: 郁金香驱动 先是得到了ObOpenObjectByPointer的地址,然后在 NtOpenProcess中搜索0xe8 ,也就是跳转指令,直到遇见RET为止。 一但得到0xe8,比较后面的四个字节,如果转换后为 ObOpenObjectByPointer的地址,就把这个地址用自己代理函数的地址转换后替换掉,达到 保护自己的目的。 郁金香驱动WinDbg看了看,果然在我的机器上:0x80570e41这个在 NtOpenProcess中的区域被TesSafe.sys修改,原来这里是:80570e41 e87c8dffff call nt!ObOpenObjectByPointer (80569bc2) 系统通过ObOpenObjectByPointer来通过 EPROCESS得到Handle返回给调用者。TENCENT在这里下了一个跳转:(TesSafe.sys加载后。)80570e41 e826542a78 call f881626c 很明显,系统执行到这里就会调用0x6881626c的函数,也就是 TesSafe.sys的 ObOpenObjectByPointer代理函数。这 样,Client.exe就会在这里被过滤掉,从而让R3程序无法得到QQT的句柄,从而保护进程。 郁金香驱动 ================================================================================= 我手头拿到的版本是2008年8月5号的,把TesSafe逆出来一看,比上个版本有所加强. 在这个新版本中,TesSafe一共InLine Hook了六个函数,我只逆出并恢复了五个 其中: 1. KeAttachProcess NtOpenProcess NtOpenThread 这三个函数的HOOK方式与上一个版本一样,就是上面蓝色字体的方法,把本应该call ObOpenObjectByPointe的代码修改成了call他自己的代码, 然后在他自己的代码中处理保护的进程 上面三个函数,原来正常的代码为 80581ce3 e8a658ffff call nt!ObOpenObjectByPointer (8057758e) 被HOOK后的代码变成了 call a8724af4(TesSafe自己搞出来的函数) lkd> u a8724af
使用WinDbg和虚拟机调试Windows驱动程序.pdf
09-07
这是一个用来windbg调试Windows驱动程序的文档,很值得大家观看.
【Linux云计算架构:第二阶段-Linux必会的20多种服务】第29章——SVN&&git&github-版本控制服务器
就叫一片白纸的博客
05-13 351
SVN版本控制服务 SVN是Subversion的简称,是一个开放源代码的版本控制系统,相较于CVS,它采用了分支管理系统,它的设计目标就是取代CVS。互联网上很多版本控制服务已从CVS迁移到Subversion。也是就是CVS的接班人! CVS是一个C/S系统,是一个常用的代码版本控制软件。主要在开源软件管理中使用。与它相类似的代码版本控制软件有subversion。多个开发人员通过一个中心版本...
win10 VMWare + windbg 驱动调式环境设置
2403_83063732的博客
02-21 369
windows 使用VMware WIN10系统调试驱动代码
Docker
ljx1129071273的博客
11-08 5436
Docker 参考资料 官方文档:https://docs.docker.com/docker-for-windows/ 【官方文档超级详细】 仓库地址:https://hub.docker.com/ 【发布到仓库,git pull push】 b站教程:https://www.bilibili.com/video/BV1og4y1q7M4? 【这个教程非常简洁!且深入!基于企业应用场景!推荐!以下笔记都基于该课程】 前期基础 linux基本命令,类似cd,mkdir等 Docker概述 Docker为什
Git最新版---个人总结精简版笔记
m0_64676711的博客
02-07 1545
改编自尚硅谷Git入门到精通全套教程(涵盖GitHub\Gitee码云\GitLab)
SpringCloud Alibaba入门简介
Brew的博客
03-15 2066
第十七章 SpringCloud Alibaba入门简介 一、为什么使用Alibaba 1.因为:spring netflix进入维护模式 https://spring.io/blog/2018/12/12/spring-cloud-greenwich-rc1-available-now#spring-cloud-netflix-projects-entering-maintenance-mode 什么是维护模式:spring cloud团队将不会再向模块添加新功能,我们将修复block级别的bug以及安全
驱动程序的调试windbg双机调试
C++入门到放弃
10-26 9064
这篇博客是接着上一篇的,主要写一下配置好了双机调试环境之后,如何使用windbg调试自己开发的驱动程序。配置完了双机调试的环境以后,在主机使用windbg已经可以hook虚拟机的操作系统,如下图 可以看到我们的调试机已经hook住了虚拟机,这时按Ctrl+Pause就可以使虚拟机的操作系统暂停运行。 输入g或者按F5可以使其恢复运行。这时将想要调试驱动程序安装在虚拟机OS中,就是把 De
32位/64位WINDOWS驱动windbg双机调试
a756598009的博客
06-24 3297
windbg双机调试环境配置第一步关掉虚拟机如果有打印机请移除打印机(打印机会占用端口)添加-添加串行端口-完成选择使用命名的通道-名字为 \.\pipe\abc123(对应下面的COM1) -确定-在开启虚拟机在虚拟机命令行里面输入 msconfig 来到系统配置 -引导-第二个高级选项 -勾选调试-勾选调试窗口-选择COM1;-确认-重新启动-启动的时候选择下面的调试系统来到自己电脑系统搜索windbg
使用WinDbg双机调试SYS无源码驱动程序
qq_38474647的博客
12-29 174
背景 有很多学习逆向的小伙伴,逆向一些用户层的程序很熟练了,但是由于没有接触过内核驱动开发,所以对于驱动程序的逆向无从下手。 对于驱动程序的调试可以分为有源码调试和无源码调试。本文主要讨论无源码驱动程序的调试,也就是逆向驱动程序的方法和步骤。本文演示的是使用 VMware 虚拟机和 WinDbg 程序实现双击调试。 ...
Windows Dll Injection、Process Injection、API Hook、DLL后门/恶意程序入侵技术
weixin_33869377的博客
02-02 971
catalogue 1. 引言2. 使用注册表注入DLL3. 使用Windows挂钩来注入DLL4. 使用远程线程来注入DLL5. 使用木马DLL来注入DLL6. 把DLL作为调试器来注入7. 使用createprocess来注入代码8. APC DLL注入9. API Hook拦截10. Detours - Inline Hook11. 以服务形式执行DLL中指定函数/或直接指定EXE作为启动...
Windows 驱动开发 之 WinDbg调试(一)
Time Limit Exceeded on test 99
06-16 1472
Windbg 调试课程相关笔记
使用Windbg双机调试驱动
08-07
使用Windbg双机调试驱动
windbg 驱动调试
01-22
驱动开发工具 windbg 驱动调试工具
windbg 中文版下载(替换原来版本文件就可以)
02-25
它们可以调试操作系统以及在操作系统上运行的应用程序、服务和驱动程序。基于NT内核的操作系统包括: * Windows Vista * Windows Server 2003 * Windows XP * Windows 2000 CDB和NTSD在实质上是相同的。在这组...
Windows内核安全驱动开发(随书光盘)
08-02
1.3.1 下载和安装WinDbg 9 1.3.2 设置Windows XP调试执行 9 1.3.3 设置Vista调试执行 10 1.3.4 设置VMware的管道虚拟串口 11 1.3.5 设置Windows内核符号表 12 1.3.6 实战调试first 13 第2章 内核编程环境及其...
Windows内核安全与驱动开发光盘源码
07-11
1.3.1 下载和安装WinDbg 9 1.3.2 设置Windows XP调试执行 9 1.3.3 设置Vista调试执行 10 1.3.4 设置VMware的管道虚拟串口 11 1.3.5 设置Windows内核符号表 12 1.3.6 实战调试first 13 第2章 内核编程环境及其...
寒江独钓-Windows内核安全编程(高清完整版).part1
01-04
主要知识重点包括:Windows串口与键盘过滤驱动Windows虚拟存储设备与存储设备过滤驱动Windows文件系统过滤驱动、文件系统透明加密/解密驱动Windows各类网络驱动(包括TDI过滤驱动及三类NDIS驱动),以及最新的...
flutter 生成单选组件
最新发布
weixin_40466351的博客
04-30 528
【代码】flutter 生成单选组件。
Windbg调试exe
05-10
Windbg 是一款强大的 Windows 调试工具,可以用来调试各种类型的应用程序,包括exe文件。 以下是基本的 Windbg 调试步骤: 1. 打开 Windbg,并选择 File -> Open Executable,选择要调试的 exe 文件。 2. 点击 F5 开始调试。 3. 在 Windbg 中输入命令,例如:“g” 表示继续执行程序,“t” 表示单步执行,“bp” 表示设置断点等。 4. 在调试过程中,可以使用 Windbg 提供的各种命令和功能查看程序的状态、变量的值、内存的内容等。 5. 调试完成后,可以使用 Windbg 中的命令退出调试,例如:“q” 表示退出。 需要注意的是,Windbg 是一个非常强大的调试工具,需要一定的调试经验和技巧才能使用得好。建议先了解 Windbg 的基本使用方法,再逐步学习高级的调试技巧。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

danxuezx

如果对你有用是我的快乐

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值