Windbg设置入口函数DriverEntry断点

最新推荐文章于 2024-09-15 14:06:04 发布
最新推荐文章于 2024-09-15 14:06:04 发布
阅读量2.6k 收藏 3
点赞数
分类专栏: 逆向 Window 内核和驱动 文章标签: windows 驱动 逆向 DriverEntry
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/faithzzf/article/details/53219909
版权

     Windows驱动程序加载的入口函数为DriverEntry,通过调试该函数,很容易可以找出驱动程序的派遣函数,接着可以调试分析自己感兴趣的IRP。但是,首先,需要在windbg中设置断点,使得驱动程序加载的时候可以执行单步调试。这里有2种办法可以尝试。


     第一种方法,直接通过计算驱动程序的入口地址,下断点即可。比如有些第三方驱动程序,可能会动态加载或者卸载,但是很多时候,再次加载的时候驱动的模块在内存中的地址仍然是保持不变的。

        驱动模块加载后,比如加载 abc.sys,

        (1)输入执行lm命令,查看到该驱动模块的起始和结束地址,如 f891d000 f8923500   abc,起始地址为f891d000 。

        (2)接着输入命令 bp BaseAddress+poi(poi(BaseAddress+0x3c)+BaseAddress+0x28)  对于abc.sys来说,BaseAddress为f891d000 。输入bp命令下载断点即可,下次加载驱动程序的时候进入断点进行单步调试。


     第二种方法,对于一些系统自带的驱动模块,可以在windbg连接上目标调试机后通过bp命令设置断点,比如 bp usbprint!DriverEntry。然后输入F5或者g进一步启动目标调试系统,等到该驱动程序加载的时候,即可执行断点,进行单步调试。

faithzzf
关注
专栏目录
可执行文件的装载,进程和线程,运行时库的入口函数(第六章)
u012138730的专栏
05-20 2216
装载过程 程序执行时所需要的指令和数据必须在内存中(指的是物理内存)才能正常运行。程序装载指的就是把这些东西载到内存中。最简单的装载方式就是把所需的指令和数据全部装入内存,称为静态装载。但是这样会比较消耗内存。动态装载的思想是程序用到哪个模块就装入内存。下面介绍动态载的过程: 1.创建一个独立的虚拟内存空间 创建的是映射表的数据结构,使用二级表的话,分配一个4K的页目录就可以了,后面的映...
windbg调试和断点学习总结2
热门推荐
bcbobo21cn的专栏
12-13 1万+
WinDbg 设置断点windbg中,断点设置的地址形式有好多种,可以是以下几种: 1.虚拟地址:即给出直接地址,如 12345678 2.函数偏移量:如DriverEntry+5c. 3.源代码+行数 :`[[Module!]Filename][:LineNumber]` 4.对C++可以对模块中的某个类的方法设置断点:   设置断点语法:           1:
WinDbg 设置断点
togoblime的专栏
02-25 9038
windbg中,断点设置的地址形式有好多种,可以是以下几种:1.虚拟地址:即给出直接地址,如 123456782.函数偏移量:如DriverEntry+5c.3.源代码+行数 :`[[Module!]Filename][:LineNumber]`4.对C++可以对模块中的某个类的方法设置断点: 设置断点语法:         1:无条件设置断点:  
彻底掌握Windbg调试工具:使用与实践指南
最新发布
weixin_30481539的博客
09-15 1148
本文还有配套的精品资源,点击获取 简介:本文详细介绍如何使用Microsoft的Windbg调试工具,一款广泛应用于软件开发、系统管理和安全领域的强大调试平台。内容涵盖从基本界面设置到高级调试技术,通过逐步指导帮助读者深入了解和掌握Windbg的核心功能。文章还强调了如何将Windbg与源代码及其他开发工具集成,并提供学习资源和社区支持,旨在提升用户在故障排查和软件调试方面...
Windbg对过滤驱动DriverEntry函数断点技巧
在线笔记
10-08 1186
http://www.cppblog.com/flytosky2008gao/archive/2009/08/16/93477.aspx 方法1:  1> 先用DeviceTree.exe查看指定的过滤驱动的Load Address(载地址)  2> 再用LordPE.EXE查看指定过滤驱动文件的入口点地址  3> 计算过滤驱动DriverEntry函数内存地址 DriverEnt
windbgDriverEntry断点
死胖子的博客
02-15 765
驱动尚未载时,使用:bp 驱动名!DriverEntry: 效果: 0: kd> bp gohome!DriverEntry Bp expression 'gohome!DriverEntry' could not be resolved, adding deferred bp 当驱动载后自动断到驱动入口
WinDbg】常用窗口、内存符号命令、调试命令;常用流程,入口函数断点
多丰富下自己呀
03-29 589
WinDbg】常用窗口、内存符号命令、调试命令;常用流程,入口函数断点
Windbg断点调试
Geons的花园阳台
02-28 803
[文章主题]WindbgWindows驱动调试的重要软件,也是必须学习的软件,前面的博客介绍了一些双机调试的环境配置,只要按照我所说的步骤一步步下来就可以完成环境搭建。本文主要介绍如何调试sys格式的驱动文件,网上很多资料都说得含糊不清,甚至有博主就是简单翻译外文资料,根本没有实际应用,这篇文章将解决这些问题。[环境配置]VM虚拟机(已安装XP系统)DriverMonitor(安装在XP系统中)...
WinDBG调试技巧:断点与软件断点解析
当指定模块被载时,WinDBG会自动落实这个断点,这对于调试动态载的代码非常有用,如驱动程序的DriverEntry函数。 除了基本的断点设置WinDBG还允许用户自定义断点的行为。例如,可以设置断点只在特定条件下...
windbg调试驱动学习总结
bcbobo21cn的专栏
03-19 4330
简单驱动编写与windbg调试 http://trustsec.blog.51cto.com/305338/64694/ 一.驱动编写 随着对windows系统的深入研究,越来越多的内核方面的知识被挖掘出来了,今天我们讨论下如何写一个 简单的驱动,并使用现在比较新的windbg调试器进行调试。首先写驱动要对驱动有一个比较全面的认识 。 一个简单的驱动一般有以下几
WinDbg调试:驱动程序中断调试与双机环境搭建
首先,为了便于调试驱动程序,作者在DriverEntry入口函数中添了INT 3系统中断的汇编代码,以便在驱动程序装载后能够暂停执行。这个过程涉及到了x64系统的汇编编程技术,但具体实现细节在文档中并未详述,有兴趣的...
WinDBG常用断点命令
Ghjhfssfgk的博客
03-09 401
WinDBG提供了多种设断点的命令: bp 命令是在某个地址 下断点, 可以 bp 0x7783FEB 也可以 bp MyApp!SomeFunction 。 对于后者,WinDBG 会自动找到MyApp!SomeFunction 对应的地址并设置断点。 但是使用bp的问题在于:1)当代码修改之后,函数地址改变,该断点仍然保持在相同位置,不一定继续有效; 2)WinDBG 不会把bp断点保存工作空...
WinDBG 技巧:设断点命令详解(bp, bu, bm, ba 以及bl, bc, bd, be)
在线笔记
10-08 1864
WinDBG 提供了多种设断点的命令:bp, bu, bm, ba   bp 命令是在某个地址下断点, 可以 bp 0x7783FEB 也可以 bp MyApp!SomeFunction 。 对于后者,WinDBG 会自动找到MyApp!SomeFunction 对应的地址并设置断点。 但是使用bp的问题在于:1)当代码修改之后,函数地址改变,该断点仍然保持在相同位置,不
windbg 初始断点
CAir2的专栏
06-18 583
1.什么是初始断点? 当调试进程的时候,为了让调试人员尽早的分析目标调试程序,windows操作系统的进程载器入了特别的调试支持: 在完成最基本的用户态初始化之后,系统的初始化函数就会主动执行断点指令,触发断点,让调试目标中断到调试器中。 这个断点被称为初始断点。 2.Windbg初始断点触发 为了给我们提供更好的调试机会,所以windbug在调试的时候首先会触发初始断点。 file=&gt...
调试没有符号的驱动时如何断在入口点处
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
08-14 1259
关于调试没有符号的驱动时如何断在入口点处这个问题,先说一个我听来的很挫的方法:用C32ASM修改DriverEntry处为0xCC,就是int 3,修正校验和后载,执行到DriverEntry时产生int 3异常自然就会中断在调试器了,这时再把原来的指令改回去继续跑就行了.改来改去的,确实比较挫~~. 那么怎么做比较好一点呢? 我们都知道有符号时直接bu drivername!DriverE
windbg 之 如何定位进程入口点地址
weixin_30633949的博客
09-18 448
载入HelloWorld.exe之后我们看看载了哪些模块: 查看一下堆栈: 都是ntdll中的函数,我们想要运行到HelloWorld.exe的main函数中停下。 这么办: 使用!dh命令。 帮助文档中给出!dh的解释如下: The !dh extension displays the headers for the specified image. Par...
WinDBG调试驱动时中断DriverEntry的方法
CrazyWolf的专栏
09-06 2432
1.无符号文件的驱动中断DriverEntry方法一: a) 在驱动之前,先使用设置异常命令sxe,设置驱动文件时中断.命令格式:sxe ld b) 驱动中断后,使用lm命令查看驱动模块的基址.命令格式:lm m c) 通过计算PE文件入口点地址,得到DriverEntry的地址. 计算公式如下: DriverEntry = moduleBase + *(DWORD*
wdk 框架下的DriverEntry
lhj6105_lhj的专栏
08-21 344
这种框架下,我们只需要定义需要的回调指针即可。 主要定义以下几种机构 1. 上下文 Context 2. IRP 回调 callbacks 3. 驱动绑定和卸载时的回调     InstanceSetup     InstanceTeardownXX
windbg设置断点
06-13
6. **启动调试**:最后,启动你要调试的进程,Windbg会在设置断点处停止程序执行。 相关问题: 1. Windbg除了断点还有哪些调试功能? 2. 如何在Windbg中单步执行代码? 3. 如何查看断点列表和管理已设置断点
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值