KdEnteredDebugger变量的定位

最新推荐文章于 2021-10-14 02:48:05 发布
最新推荐文章于 2021-10-14 02:48:05 发布
阅读量588 收藏
点赞数
分类专栏: 驱动学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/haodawei123/article/details/86737972
版权

仿照 KdDebuggerNotPresent变量的定义,在自己的源文件中添加下面两句来定义KdEnteredDebugger变量
*extern PBOOLEAN KdEnteredDebugger;
#define KD_ENTERED_DEBUGGER KdEnteredDebugger
如下面的代码就是打印KdEnteredDebugger变量的地址
#include<NTDDK.H>

extern PBOOLEAN KdEnteredDebugger;

#define KD_ENTERED_DEBUGGER *KdEnteredDebugger

//查找KdEnteredDebugger地址
VOID UnloadDriver(PDRIVER_OBJECT driver)
{
UNREFERENCED_PARAMETER(driver);
DbgPrint(“驱动卸载!!!!!”);
}

NTSTATUS DriverEntry(PDRIVER_OBJECT driver, PUNICODE_STRING RegistryPath)
{
NTSTATUS status=STATUS_SUCCESS;
UNICODE_STRING func;
PVOID addr = 0;
UNREFERENCED_PARAMETER(RegistryPath);
RtlInitUnicodeString(&func, L"IoAllocateMdl");
addr = MmGetSystemRoutineAddress(&func);
DbgPrint(“IoAllocateMdl的地址:%llx\n”,addr);
DbgPrint(“KdEnteredDebugger的地址:%llx\n”, KdEnteredDebugger);
driver->DriverUnload = UnloadDriver;

return status;

}
执行结果如下图:
在这里插入图片描述

haodawei123
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
反调试 - r3 使用 NtQuerySystemInformation 获取 KdKdDebuggerEnable 和 KdDebuggerNotPresent
墨鱼菜鸡
07-14 317
原理 NtQuerySystemInformation 被 ntdll.dll 导出,当第一个参数传入 0x23 (SystemInterruptInformation) 时,会返回一个 SYSTEM_KERNEL_DE...
过某P之KdEnteredDebugger检测
08-24 1776
某p在双机调试时,会检测KdEnteredDebugger是否等于1,如果等于1就重启。 我们的办法是让检测永远检测到0。经过分析,当位置为KdEnteredDebugger+0x20时值是0。我们可以修改指向。只要inline hook IoAllocateMdl 即可 PMDL MyIoAllocateMdl( __in_opt PVOID VirtualAddress, __in...
读书笔记_windows内核调试_part 2_内核对话过程
wodamazi
10-14 104
内核对话 Windows启动内核调试后,主要做了以下几个工作 1. 建立连接 2. 调试器读取目标系统信息,初始化调试引擎(目标机)。 3. 内核调试引擎通过状态变化信息包通知调试器加载初始模块的调试符号(目标机)。 4. 调试器端发送中断包,将目标系统中断到调试器,交互调试后又恢复执行的过程。 5. 因断点命中,目标系统中断到调试器的过程。 6. 内核中的模块输出调试字符串(Dbg...
异常派发研究KiDispatchException
ADADQDQQ的博客
10-14 1080
当系统Debug模式下: KdDebuggerEnabled1 KdPitchDebugger0 KiDebugRoutine==KdpTrap 此模式下R3触发的异常相关若没有异常处理接管,电脑直接卡死 当系统正常模式下: KdDebuggerEnabled0 KdPitchDebugger1 KiDebugRoutine==KdpStub 此模式下R3触发异常若没有异常处理接管,则程序崩溃 KdDebuggerNotPresent:启动Debug并且连接调试器0,否则1 KdEnteredDebugge
记录一下对TP的研究
kingswb的博客
04-19 4503
参考  http://bbs.pediy.com/showthread.php?t=196149 非常好的一篇分析贴 本文在Win7 x86下的分析 在虚拟机中以/DEBUG模式启动TP游戏,系统会自动重启。   根据软件调试第十八章,windows启动过程中会调用两次KdInitSystem()函数 第一次调用KdInitSystem分别会初始化如下变量
变量定位或函数定位
08-03
在51单片机编程中,变量定位和函数定位是一项重要的技术,这涉及到程序的存储空间管理和优化。本文主要探讨如何在C51环境下对变量和函数进行定位,以满足特定的需求。 首先,我们来看函数定位。在C语言中,函数通常...
keil c51中变量 常量 函数的定位
10-25
Keil C51 中变量、常量、函数的定位是指在编译器中将变量、常量、函数定位到某个特定的存储器地址上,以满足特定的应用需求。下面是 Keil C51 中变量、常量、函数定位的相关知识点: 一、代码定位 Keil C51 中有两...
Lua 变量
01-03
Lua 变量 变量在使用前,必须在代码中进行声明,即创建该变量。 编译程序执行代码之前编译器需要知道如何给语句变量开辟存储区,用于存储变量的值。 Lua 变量有三种类型:全局变量、局部变量、表中的域。 Lua 中的...
Lua–变量
12-14
变量 变量在使用前,必须在代码中进行声明,即创建该变量。 编译程序执行代码之前编译器需要知道如何给语句变量开辟存储区,用于存储变量的值。 Lua 变量有三种类型:全局变量、局部变量、表中的域。 Lua 中的变量全...
labview共享变量
06-27
labview共享变量
内核调试学习笔记
zfdyq
12-17 2229
内核调试学习笔记  第一次调用KdInitSystem会初始化一下全局变量:   1.KdPitchDebugger:布尔类型,用来表示是否显式抑制内核调试。当启动选项中包含/DEBUG选项时,这个变量会被设置为真。 2.KdDeBuggerEnable:布尔类型,用来表示内核调试是否被启用。当启动选项中包含/DEBUG或者/DEBUGPORT 而且不包含/NODEBUG时,这个变量会被设
内核调试相关变量说明
weixin_34332905的博客
12-27 196
KdInitSystem 函数让内核调试引擎初始化 KiDebugRoutine 当系统分发异常时会调用KiDebugRoutine变量所指向的函数 KiDebugRoutine写入函数地址KdpStub(禁止调试) /KdpTrap(开启调试) KeUpdateRunTime 系统的时间更新函数 KdCheckForDebugB...
DbgPrint 函数流程分析
weixin_33895657的博客
01-20 526
DbgPrint 函数流程分析 前言 Windows 下编写内核驱动时经常用到 DbgPrint 函数输出一些调试信息,用来辅助调试。当正在用 WinDbg 内核调试时,调试信息会输出到 WinDbg 中。或者利用一些辅助工具也能看到输出的调试信息,比如 Sysinternals公司的 DebugView 工具。本文分析了 Vista 系统上 DbgPrint 系列函...
Windows内核调试器原理浅析
01-05 1390
前段时间忽然对内核调试器实现原来发生了兴趣,于是简单分析了一下当前windows下主流内核调试器原理,并模仿原理自己也写了个极其简单的调试器:)  WinDBG  WinDBG和用户调试器一点很大不同是内核调试器在一台机器上启动,通过串口调试另一个相联系的以Debug方式启动的系统,这个系统可以是虚拟机上的系统,也可以是另一台机器上的系统(这只是微软推荐和实现的方法,其实象SoftICE这类内核调
【模仿】对双机调试的学习
kingswb的博客
05-11 1905
首先要谢谢 zfdyq我是看了他的帖子还有代码一步步验证过来的。 当然在调试的过程中间出了很多问题,但是都一个个解决了,收获还是蛮多的。 我的大体思路都是跟着zfdyq来的,就是关于kdptrap这一块在代码里面没有看到(是我太笨了,没能领略其它的奥妙),我用搜索栈的方法改变这个值。其他地方可以说基本没做多少变动,不要打我,我太懒了,回头研究内核重载时候一定自己写代码。。。。 我还是
某驱动的内核调试检测学习内核调试引擎加载机制
04-08 1569
标 题: 【原创】某驱动的内核调试检测学习内核调试引擎加载机制 作 者: 毁灭 时 间: 2014-03-29,02:13:41 链 接: http://bbs.pediy.com/showthread.php?t=186091 作者:Tiany QQ:304400230 如果大家调试过某驱动 就知道新版本的驱动已经改了很多 很主要的一点就是只要我们在boot.ini 里加入
记录下过*P的内核调试(蓝屏 无法显示进程)的问题
allenwangdiy的博客
03-23 1129
根据软件调试书上所说,windows启动过程中系统需要调用两次 KdInitSystem()函数。 第一次调用KdInitSystem()的时候会初始化一些全局变量包括: 1,KdPitchDebugger : 布尔类型,用来表示是否抑制内核调试。当启动选项中包含/DEBUG选项的时候,这个变量会       被置为假。 2,KdDeBuggerEnabled: 布尔类型,用来表示内核调试是
Windows内核调试器 - 简介
allenwangdiy的博客
03-24 2662
转自 : 点击打开链接 Windows内核调试器 - 原理 WinDbg          WinDBG和用户调试器一点很大不同是内核调试器在一台机器上启动,通过串口调试另一个相联系的以Debug方式启动的系统,这个系统可以是虚拟机上的系统,也可以是另一台机器上的系统(这只是微软推荐和实现的方法,其实象SoftIce这类内核调试器可以实现单机调试)。很多人认为主要功能都是在Wi
绝对定位怎么用css变量
最新发布
02-24
下面是使用CSS变量实现绝对定位的示例: 首先,在CSS中定义一个变量: ```css :root { --top-position: 50px; --left-position: 100px; } ``` 然后,在需要使用绝对定位的元素中,使用这些变量来设置位置属性: ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值