windbg停在无符号驱动的DriverEntry(WIN10)

最新推荐文章于 2022-06-16 21:40:59 发布
最新推荐文章于 2022-06-16 21:40:59 发布
阅读量811 收藏 1
点赞数 2
分类专栏: Windbg 使用 文章标签: windbg 驱动调试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_21000273/article/details/52064994
版权

第一步:获取需要调试驱动名字(360SelfProtection.sys)。

第二步:搭建“VM+windbg”双机调试环境

第三步:在宿主机windbg中输入:sxe ld 360SelfProtection.sys(注;sxe 当发生该异常时,在任何错误处理器被激活之前目标立即中断到调试器中。ld;Load Module.指令参考链接:http://www.cnblogs.com/guanlaiy/archive/2012/12/18/2822920.html)。输入指令G,让系统运行起来。一会将会中断。


第四步:输入lm,显示中断时系统加载的模块。可以看到,系统在加载360SelfProtection时,windbg 中断下来了。

第五步:输入命令lmDvm360SelfProtection,查看360SelfProtection的详细信息。将start下的地址记下。该地址为模块的加载基址。

第六步:根据PE结构计算出,驱动入口地址。BaseAddress+poi(poi(BaseAddress+0x3c)+BaseAddress+0x28)

第七步:输入指令g。使系统继续指令。系统断在该驱动模块的入口地址处



小猪背书包
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
sxe ld 命令
Sven的忘却日记
01-14 2400
有些场景需要使用windbg调试某个dll模块,而这个模块加载时机不是很确定。 通常需要使用sxe ld <dll名称> 来设置一个模块加载异常。当被调试进程加载指定名称的dll时,调试器就会中断,后续就可以对该模块的设置一些符号断点了。 那么如何看到我设置的所有sxe断点呢? 在windbg的event filter中可以管理设置过的sx系列断点 ...
驱动调试中怎么样让windbgDriverEntry
xum2008的专栏
01-18 2673
一般说来,调速驱动程序分为两种: 1.存在PDB文件的调试: 这里的PDB文件其实就是调试符号文件,假如我们调试的这样的文件,我们可以再windbg中使用 :bp  驱动名!DriverEntry,这个时候当加载驱动的时候,程序就会断在入口了。 2.没有PDB文件的调试: 在调试别人的驱动程序时,也就是自己只有bin,并且在这个bin没有PDB文件,以及你没有它的代码。这种
Windows 驱动开发 之 WinDbg调试(一)
Time Limit Exceeded on test 99
06-16 1546
Windbg 调试课程相关笔记
Windbg内核调试之二: 常用命令
mergerly的专栏
09-26 1238
运用Windbg进行内核调试, 熟练的运用命令行是必不可少的技能. 但是面对众多繁琐的命令, 实在是不可能全部的了解和掌握. 而了解Kernel正是需要这些命令的指引, 不断深入理解其基本的内容. 下面, 将介绍最常用的一些指令, 使初学Kernel调试的朋友们能有一个大致的了解. 至于如何熟练的运用它们, 还需要实际的操作过程中进行反复的琢磨.Windbg能够方便的进行远程调试和本地进程调试(只
WinDbg命令常用命令(驱动
Hell的博客
06-26 591
刚开始研究驱动,对WinDbg的命令不熟练,写个文档记录一下,免得经常忘记。希望大佬不要说我是标题党查看内存!poolused 分析错误!analyze
windbg win7&win10.zip
05-18
这个名为"windbg win7&win10.zip"的压缩包包含了适用于不同Windows操作系统的Windbg版本,旨在满足用户在不同环境下进行调试的需求。 首先,压缩包中包含的WinDbg_X64_v10.0.18362.1.msi是Windbg的64位版本,适用于...
windbg 10.0版本 适用于win10
05-15
- **驱动程序调试**:Win10中的驱动程序开发和调试Windbg的主要应用场景之一,它可以调试内核模式的驱动,帮助开发者找到驱动程序中的bug。 - **性能分析**:通过Windbg,开发者可以分析系统性能瓶颈,例如CPU...
windbg windebug 最新版 for win10
03-21
在实际使用中,Windbg具备丰富的命令行选项和强大的脚本编写能力,用户可以通过学习其命令语法和扩展插件(如PDB符号文件)来提高调试效率。例如,`!analyze -v` 命令用于详细分析系统崩溃的原因,`g` 命令则可以...
真正Win10中可用的windbg10(Debugging Tools for Windows 10)
05-27
目前CSDN下载频道中的微软调试工具WinDbg(即Debugging Tools for Windows)大都不适用于Win10系统,在Windows10中会报错:Could not ...这里提供的WinDbg10下载自微软官网,适用于Win10系统(切记以管理员权限运行)。
win10 windbg 64
01-06
Debugging Tools for Windows 10 (WinDbg) If you just need the Debugging Tools for Windows 10, and not WDK 10 or Visual Studio 2015, you can install the debugging tools as a standalone component from ...
WinDBG调试驱动时中断DriverEntry的方法
CrazyWolf的专栏
09-06 2388
1.无符号文件的驱动中断DriverEntry方法一: a) 在加载驱动之前,先使用设置异常命令sxe,设置加载驱动文件时中断.命令格式:sxe ld b) 加载驱动中断后,使用lm命令查看驱动模块的基址.命令格式:lm m c) 通过计算PE文件入口点地址,得到DriverEntry的地址. 计算公式如下: DriverEntry = moduleBase + *(DWORD*
WinDBG技巧:在加载/卸载一个DLL 的时候下断点
IE浏览器开发
02-06 9284
加载某个DLL 的时候下断点的WinDBG 命令:sxe ld:[dll name]卸载某个DLL 的时候下断点的WinDBG命令:sxe ud:[dll name]比如:sxe ld:wininet  (在wininet.dll 被装载的时候断点) 还可以通过直接在DllMain下断点来达到相同目的:bu wininet!DllMain 
Windbg命令学习1(vertarget和lm和lmvm)
weixin_30527551的博客
05-09 1253
1.g可以让目标程序继续执行,ctrl+break可以挂起正在运行的目标程序回到调试模式 2.vertarget vertarget 命令显示目标机的Microsoft Windows操作系统版本 给个示例: 0:011> vertarget Windows XP Version 2600 (Service Pack 3) MP (4 procs) Free x86 ...
sxe的用法
weixin_34056162的博客
06-29 3738
sxe 一般后面接ld XXXX,可以用来在加载XX模块时下断点。 例如:sxe ld user32.dll 参考: http://stackoverflow.com/questions/1366051/windbg-setting-conditional-breakpoint 转载于:https://www.cnblogs.com/fanzi2009/archive/2011/12/29...
调试器控制异常和事件:SXE、 SXD、 SXN、SXI
热门推荐
无本之木
09-03 1万+
控制异常和事件 在用户模式和内核模式应用程序中有很多方法用于截获和处理异常。激活的调试器、即时调试器或内部的错误处理程序都是异常处理的通常方法。 关于这些错误处理方式优先等级的更多信息,查看启用即时调试。 当Microsoft Windows操作系统允许由调试器来处理异常时,产生异常的程序会中断到调试器。即应用程序止运行而调试器被激活。之后,调试器可以用各种方式处理掉异常或者分
26.windbg-sx、ld(设置异常处理、设置模块加载时断下)
hgy413的专栏
05-24 7101
1.sx sx* 命令用来控制被调试的程序发生某个异常或特定事件时,调试器要采取的动作 sx 命令显示当前进程的异常列表和所有非异常的事件列表,并且显示调试器遇到每个异常和事件时的行为。 sxr 命令将所有异常和事件过滤器的状态重设为默认值。命令被清除、中断和继续选项被重设为默认值,等等。 sx这个命令的输出信息可以分为三个部分: 第一部分是事件处理与相应处理模式的交互,第二部分是标准的...
Windbg学习18(sx和ld)
weixin_30485379的博客
05-24 229
1.sx sx* 命令用来控制被调试的程序发生某个异常或特定事件时,调试器要采取的动作 sx 命令显示当前进程的异常列表和所有非异常的事件列表,并且显示调试器遇到每个异常和事件时的行为。 sxr 命令将所有异常和事件过滤器的状态重设为默认值。命令被清除、中断和继续选项被重设为默认值,等等。 sx这个命令的输出信息可以分为三个部分: 第一部分是事件处理与相应处理模式的交互,第二部分...
Win7x64驱动调试环境搭建:VMWare + WinDbg双机调试指南
"驱动开发入门教程,专注于Win7 x64环境下的双机调试设置,利用WinDbg在物理机和VMWare虚拟机之间进行驱动程序的调试。" 本文主要介绍如何在Windows 7 64位操作系统环境下,通过WinDbg搭建一个双机调试环境,特别是...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值