Windbg设置入口函数DriverEntry断点

最新推荐文章于 2022-03-29 11:38:33 发布
最新推荐文章于 2022-03-29 11:38:33 发布
阅读量2.6k 收藏 3
点赞数
分类专栏: 逆向 Window 内核和驱动 文章标签: windows 驱动 逆向 DriverEntry
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/faithzzf/article/details/53219909
版权

     Windows驱动程序加载的入口函数为DriverEntry,通过调试该函数,很容易可以找出驱动程序的派遣函数,接着可以调试分析自己感兴趣的IRP。但是,首先,需要在windbg中设置断点,使得驱动程序加载的时候可以执行单步调试。这里有2种办法可以尝试。


     第一种方法,直接通过计算驱动程序的入口地址,下断点即可。比如有些第三方驱动程序,可能会动态加载或者卸载,但是很多时候,再次加载的时候驱动的模块在内存中的地址仍然是保持不变的。

        驱动模块加载后,比如加载 abc.sys,

        (1)输入执行lm命令,查看到该驱动模块的起始和结束地址,如 f891d000 f8923500   abc,起始地址为f891d000 。

        (2)接着输入命令 bp BaseAddress+poi(poi(BaseAddress+0x3c)+BaseAddress+0x28)  对于abc.sys来说,BaseAddress为f891d000 。输入bp命令下载断点即可,下次加载驱动程序的时候进入断点进行单步调试。


     第二种方法,对于一些系统自带的驱动模块,可以在windbg连接上目标调试机后通过bp命令设置断点,比如 bp usbprint!DriverEntry。然后输入F5或者g进一步启动目标调试系统,等到该驱动程序加载的时候,即可执行断点,进行单步调试。

faithzzf
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
可执行文件的装载,进程和线程,运行时库的入口函数(第六章)
u012138730的专栏
05-20 2175
装载过程 程序执行时所需要的指令和数据必须在内存中(指的是物理内存)才能正常运行。程序装载指的就是把这些东西载到内存中。最简单的装载方式就是把所需的指令和数据全部装入内存,称为静态装载。但是这样会比较消耗内存。动态装载的思想是程序用到哪个模块就装入内存。下面介绍动态载的过程: 1.创建一个独立的虚拟内存空间 创建的是映射表的数据结构,使用二级表的话,分配一个4K的页目录就可以了,后面的映...
windbg简明教程
10-13
DriverEntry”会在DriverEntry函数入口设置断点。 六、开始调试 1. 启动调试:使用“g”命令继续执行,直到遇到断点为止。 2. 查看状态:在断点触发时,你可以查看寄存器、内存、调用堆栈等信息,使用“dv”、“!...
WinDbg 设置断点
togoblime的专栏
02-25 8853
windbg中,断点设置的地址形式有好多种,可以是以下几种:1.虚拟地址:即给出直接地址,如 123456782.函数偏移量:如DriverEntry+5c.3.源代码+行数 :`[[Module!]Filename][:LineNumber]`4.对C++可以对模块中的某个类的方法设置断点: 设置断点语法:         1:无条件设置断点:  
Windbg对过滤驱动DriverEntry函数断点技巧
在线笔记
10-08 1165
http://www.cppblog.com/flytosky2008gao/archive/2009/08/16/93477.aspx 方法1:  1> 先用DeviceTree.exe查看指定的过滤驱动的Load Address(载地址)  2> 再用LordPE.EXE查看指定过滤驱动文件的入口点地址  3> 计算过滤驱动DriverEntry函数内存地址 DriverEnt
windbgDriverEntry断点
死胖子的博客
02-15 747
驱动尚未载时,使用:bp 驱动名!DriverEntry: 效果: 0: kd> bp gohome!DriverEntry Bp expression 'gohome!DriverEntry' could not be resolved, adding deferred bp 当驱动载后自动断到驱动入口
WinDbg】常用窗口、内存符号命令、调试命令;常用流程,入口函数断点
多丰富下自己呀
03-29 412
WinDbg】常用窗口、内存符号命令、调试命令;常用流程,入口函数断点
驱动开发和调试的环境设置
10-20
调试过程类似于WinDbg,可以在特定函数(如DriverEntry)处设置断点,并通过Go命令执行程序。 总的来说,驱动开发和调试涉及的知识点涵盖了开发环境的搭建、驱动项目的创建和编译、虚拟机和调试器的配置以及源码...
Windows调试工具入门-7(驱动程序的源码调试)
02-20
- 使用`bp`命令在感兴趣的函数或行上设置断点,例如在`DispatchRead`函数入口处或在访问非法指针的代码行上。 **3. 执行调试** - 启动调试会话,并运行应用程序来触发驱动程序的相应功能。当程序执行到达断点时...
NT驱动载源码-2018.rar_NT驱动载_驱动
09-23
驱动通常会定义一个DriverEntry函数,它是驱动程序的入口点。 2. **DriverEntry初始化**:当系统驱动时,会调用DriverEntry函数。在这里,驱动会执行一些基本的初始化操作,比如设置设备对象、初始化设备队列、...
驱动开发和调试环境搭建
05-08
driverentry”,以便在驱动DriverEntry函数入口点处设置延迟断点驱动开发和调试环境的搭建是一个复杂但重要的过程,它涉及到虚拟化技术、操作系统配置和调试工具的使用。通过以上步骤,我们可以建立一个高效且...
WinDBG常用断点命令
Ghjhfssfgk的博客
03-09 376
WinDBG提供了多种设断点的命令: bp 命令是在某个地址 下断点, 可以 bp 0x7783FEB 也可以 bp MyApp!SomeFunction 。 对于后者,WinDBG 会自动找到MyApp!SomeFunction 对应的地址并设置断点。 但是使用bp的问题在于:1)当代码修改之后,函数地址改变,该断点仍然保持在相同位置,不一定继续有效; 2)WinDBG 不会把bp断点保存工作空...
WinDBG 技巧:设断点命令详解(bp, bu, bm, ba 以及bl, bc, bd, be)
在线笔记
10-08 1834
WinDBG 提供了多种设断点的命令:bp, bu, bm, ba   bp 命令是在某个地址下断点, 可以 bp 0x7783FEB 也可以 bp MyApp!SomeFunction 。 对于后者,WinDBG 会自动找到MyApp!SomeFunction 对应的地址并设置断点。 但是使用bp的问题在于:1)当代码修改之后,函数地址改变,该断点仍然保持在相同位置,不
windbg 初始断点
CAir2的专栏
06-18 531
1.什么是初始断点? 当调试进程的时候,为了让调试人员尽早的分析目标调试程序,windows操作系统的进程载器入了特别的调试支持: 在完成最基本的用户态初始化之后,系统的初始化函数就会主动执行断点指令,触发断点,让调试目标中断到调试器中。 这个断点被称为初始断点。 2.Windbg初始断点触发 为了给我们提供更好的调试机会,所以windbug在调试的时候首先会触发初始断点。 file=&gt...
windbg 之 如何定位进程入口点地址
weixin_30633949的博客
09-18 416
载入HelloWorld.exe之后我们看看载了哪些模块: 查看一下堆栈: 都是ntdll中的函数,我们想要运行到HelloWorld.exe的main函数中停下。 这么办: 使用!dh命令。 帮助文档中给出!dh的解释如下: The !dh extension displays the headers for the specified image. Par...
WinDBG调试驱动时中断DriverEntry的方法
CrazyWolf的专栏
09-06 2389
1.无符号文件的驱动中断DriverEntry方法一: a) 在驱动之前,先使用设置异常命令sxe,设置驱动文件时中断.命令格式:sxe ld b) 驱动中断后,使用lm命令查看驱动模块的基址.命令格式:lm m c) 通过计算PE文件入口点地址,得到DriverEntry的地址. 计算公式如下: DriverEntry = moduleBase + *(DWORD*
wdk 框架下的DriverEntry
lhj6105_lhj的专栏
08-21 327
这种框架下,我们只需要定义需要的回调指针即可。 主要定义以下几种机构 1. 上下文 Context 2. IRP 回调 callbacks 3. 驱动绑定和卸载时的回调     InstanceSetup     InstanceTeardownXX
WinDbg-虚拟机-双机调试-驱动文件的调试
SHLYYY
03-25 1173
驱动文件的调试前言一、构建调试环境二、在要调试的驱动程序中下断点1.WinDbg中打开驱动文件2.在驱动程序中下断点三、准备调试1.在虚拟机中的操作系统中驱动文件2.在虚拟机中的操作系统中用vs打开三环程序准备调试四、开始调试1.vs中下断点后F5键启动调试。2.在要调试的函数中F11键进入函数内部3.WinDbg的其他窗口总结 前言 本文讲解用WinDbg和虚拟机调试驱动程序的具体过程。 不涉及WinDbg和虚拟机的配置问题。 调试环境为WinDbg+VMware+Win7 一、构建调试环境 以调
驱动入口函数DriverEntry的简单概述
yshshx的博客
04-27 4908
概述 每一个驱动都有一个驱动入口函数DriverEntry 当IO Manager记载驱动时,就会调用驱动入口函数DriverEntry 当添驱动折别是,该驱动入口函数负责驱动初始化。 初始化任务主要有确定驱动使用对象,设置驱动系统资源。 驱动入口只有IRQL=PASSIVE_LEVEL级别的系统线程可以调用 驱动对象简介DRIVER_OBJECT I / O管理器为已安装和载的每个驱动程序创...
windbg设置断点
最新发布
06-13
6. **启动调试**:最后,启动你要调试的进程,Windbg会在设置断点处停止程序执行。 相关问题: 1. Windbg除了断点还有哪些调试功能? 2. 如何在Windbg中单步执行代码? 3. 如何查看断点列表和管理已设置断点
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值