Windbg对过滤驱动DriverEntry函数下断点技巧 【zt】

最新推荐文章于 2020-06-04 11:33:43 发布
最新推荐文章于 2020-06-04 11:33:43 发布
阅读量1.3k 收藏 1
点赞数
分类专栏: WINDOWS内核 文章标签: service
 

Windbg对过滤驱动DriverEntry函数下断点技巧
方法1:
1> 先用DeviceTree.exe查看指定的过滤驱动的Load Address(加载地址)
2> 再用LordPE.EXE查看指定过滤驱动文件的入口点地址
3> 计算过滤驱动的DriverEntry函数内存地址 DriverEntry函数内存地址 = Load Address + 入口点地址
例子:
1> Load Address = 0xFAABF000
2> 入口地址 = 0x3400
3> Windbg下断点 bp 0xFAABF000+0x3400


方法2:
1> 先用DeviceTree.exe查看指定的过滤驱动的Service Name
2> 再用LordPE.EXE查看指定过滤驱动文件的入口点地址
3> 计算过滤驱动的DriverEntry函数内存地址 DriverEntry函数内存地址 = Service Name + 入口地址
例子:
1> Service Name是 ntfs
2> 入口地址 = 0x3400
3> Windbg下断点 bp ntfs+0x3400


namelcx
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WinDbg 10大调试命令
虚拟化开发
07-11 898
u: 反编译机器码在检查crash dump是否正确时,你已经用过了此命令,u命令有三种格式:1.u 从地址开始反编译8个机器码。2.u 反编译到之间的所有机器码。3.u 不提供任何参数时,从上次u命令停止的位置开始反编译。当然,反编译打段代码是十分厌烦的,但如果你只想知道在特定地址发生的事情,那这是最便捷的方法。或许u命令最令人感兴趣的特性是它可以解析代码引用到的符号----即使是目标模块
windbgDriverEntry断点
死胖子的博客
02-15 740
驱动尚未加载时,使用:bp 驱动名!DriverEntry: 效果: 0: kd> bp gohome!DriverEntry Bp expression 'gohome!DriverEntry' could not be resolved, adding deferred bp 当驱动加载后自动断到驱动入口。
Windbg过滤驱动DriverEntry函数断点技巧
afsafs1231的博客
10-11 183
方法1: 1> 先用DeviceTree.exe查看指定的过滤驱动的Load Address(加载地址) 2> 再用LordPE.EXE查看指定过滤驱动文件的入口点地址 3> 计算过滤驱动DriverEntry函数内存地址 DriverEntry函数内存地址 = Load Address + 入口点地址 例子: 1> Load Address = 0xFAAB...
WinDBG调试驱动时中断DriverEntry的方法
darcy_123的博客
06-04 231
WinDBG调试驱动时中断DriverEntry的方法: https://blog.csdn.net/hacklaolang/article/details/11182905
使用文件过滤驱动程序IFS实现对文件的加解密
11-20
文件过滤驱动程序(File System Filter Driver,简称IFS)是Windows操作系统内核层的一种技术,用于在文件系统级别拦截和处理文件操作。通过编写特定的驱动程序,开发者可以实现在文件的读取、写入、创建、删除等...
ms_diskperf.rar_硬盘过滤_过滤驱动
09-24
在硬盘过滤驱动的上下文中,它可能是用来测试驱动程序对硬盘性能的影响,或者作为示例代码来展示如何与系统性能计数器交互。 在学习和开发硬盘过滤驱动时,有几个关键的知识点需要掌握: 1. **驱动模型**:理解...
WinDbg(x86).zip_windbg_断点续传
09-21
在"WinDbg(x86).zip_windbg_断点续传"这个压缩包中,我们聚焦的是WinDbg在x86架构下的断点续传功能。断点续传是一种在网络传输过程中中断后能继续从上次中断位置开始传输的技术,它在大文件传输或网络不稳定时特别...
VRV.rar_文件 过滤_文件过滤驱动
09-24
文件过滤驱动(File Filtering Driver)是Windows操作系统内核模式驱动程序的一部分,它允许对文件系统的操作进行拦截、修改或阻止,以实现特定的安全策略或增强功能。 【描述】中提到的"基于微过滤驱动的文件保护...
串口驱动_串口驱动过滤_串口过滤_简单串口过滤驱动_
09-30
通过过滤驱动,我们可以对串口通信过程进行干预,而不必更改原始驱动或应用程序代码。 简单串口过滤驱动通常由两部分组成:上滤驱动和下滤驱动。上滤驱动接收来自用户模式应用程序的I/O请求,对其进行处理(例如,...
windbg 基本知识
CAir2的专栏
06-18 356
1. 元命令:以.开头的命令。eg:.reload 2. 扩展命令:以!开头的命令。eg:!lmi 进程线程限定符 观察模块信息 lm 1. m:指定模块名的过滤模式。eg:lm m k* 以k开头的模块 2. M:指定模块路径的过滤模式 3. o:只显示加载的模块 4. l:只显示已经加载符号的模块 5. e:死按时有符号问题的模块 分析符号 x [Options]...
windbg 调试驱动设置断点
漂飘渔人
12-19 2922
在对windows的驱动做双机调试时,总会需要在自己编写的驱动代码上设置断点。  1 这需要首先,在windbg上设置工作空间(workspace)                      在这步里面,需要将自己生成的符号文件,能够让windbg搜索到,即将自己符号文件的路径加入到windbg的symbol path里                                    
windbg常用查看设备command
a3125504x的博客
09-15 716
1.!devnode    显示设备节点 2.!devobj       显示设备对象信息,后面可根据参数决定信息内容 3.!drvobj        显示驱动对象信息 4.!devstack   显示设备对象堆栈 一!devnode !devnode Address [Flags][Service] !devnode 1 !devnode 2 !devnode扩展显示设备树中
驱动调试中怎么样让windbg停在DriverEntry
xum2008的专栏
01-18 2673
一般说来,调速驱动程序分为两种: 1.存在PDB文件的调试: 这里的PDB文件其实就是调试符号文件,假如我们调试的这样的文件,我们可以再windbg中使用 :bp  驱动名!DriverEntry,这个时候当加载驱动的时候,程序就会断在入口了。 2.没有PDB文件的调试: 在调试别人的驱动程序时,也就是自己只有bin,并且在这个bin没有PDB文件,以及你没有它的代码。这种
一个简单的NT驱动驱动入口函数(DriverEntry)
qqd911mu
01-17 487
一个简单的NT驱动驱动入口函数(DriverEntry) 2011年12月16日    选了本驱动开发方面的书《Windows驱动开发技术详解》,这本书类似于MFC方面孙鑫的《VC++深入详解》,看了一部分感觉还不错。   在开始看这本书之前查了许多资料,是想看看自己的实际需求需要看些哪方面的书,但发现要学的技术太多了,汇编要学,操作系统要学。还是不管了,先找本书来看看...
过TP驱动4(硬件断点部分)
guoyi987的专栏
03-17 2720
NtGetThreadContext NtSetThreadContext 需要处理一下    概念性代码:   NTSTATUS MyNtGetThreadContext(HANDLE hThread, PCONTEXT pContext) { PEPROCESS p = IoGetCurrentProcess(); NTSTATUS status ; if ( s
Windows Minifilter驱动 - DriverEntry (3)
zj510的专栏
09-18 3202
驱动里面的DriverEntry就相当于main()或者DllMain()函数,这是个入口点。当驱动被加载的时候,
windbg查看设备栈设备树学习总结
bcbobo21cn的专栏
06-29 3125
windbg寻找设备树根节点 http://blog.csdn.net/lixiangminghate/article/details/51729945     用ReactOS上明确说过,Pnp管理器对每种设备都会创建一个虚拟root device用于构建设备树;同时这个新创建的root device又作为一个设备栈的栈底,往上形成完整的设备栈。用windbg调试时,可以看到这个虚
windbg设置断点
最新发布
06-13
Windbg(Windows Debugger)是微软官方提供的一款强大的调试工具,主要用于分析和调试Windows系统下的应用程序。设置断点是调试过程中的重要步骤,它允许你在程序执行到特定行或代码块时暂停,以便查看和修改变量值、检查调用堆栈等。 以下是设置断点的基本步骤: 1. **打开Windbg**:首先,你需要打开Windbg,可以通过“开始”菜单搜索或直接运行`cdb.exe`(命令行版)或`windbg.exe`(图形界面版)。 2. **加载目标模块**:如果你知道要调试的应用程序的进程ID(PID)或进程名,使用`!process`命令加载它。例如:`.reload /f <进程名>` 或 `~pid <进程ID>`。 3. **找到源代码位置**:在加载了目标模块后,使用`lm`(list modules)命令查看模块信息,然后找到你想要设置断点的源代码行号,通常文件路径会出现在模块信息中。 4. **设置断点**:使用`bp`命令加上模块路径和行号,例如:`bp <模块路径>\function_name + line_number`。你也可以使用符号文件(.pdb)的相对路径来设置断点,如:`bp !function_name`。 5. **断点选项**:如果需要,你可以添加条件、步进等选项,例如设置只在满足某个条件时触发断点,用`b`命令后跟条件表达式,如 `b function_name(line_number) condition`。 6. **启动调试**:最后,启动你要调试的进程,Windbg会在设置的断点处停止程序执行。 相关问题: 1. Windbg除了断点还有哪些调试功能? 2. 如何在Windbg中单步执行代码? 3. 如何查看断点列表和管理已设置的断点

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值