windbg停在无符号驱动的DriverEntry(WIN10)

最新推荐文章于 2021-06-03 20:11:41 发布
最新推荐文章于 2021-06-03 20:11:41 发布
阅读量809 收藏 1
点赞数 2
分类专栏: Windbg 使用 文章标签: windbg 驱动调试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_21000273/article/details/52064994
版权

第一步:获取需要调试驱动名字(360SelfProtection.sys)。

第二步:搭建“VM+windbg”双机调试环境

第三步:在宿主机windbg中输入:sxe ld 360SelfProtection.sys(注;sxe 当发生该异常时,在任何错误处理器被激活之前目标立即中断到调试器中。ld;Load Module.指令参考链接:http://www.cnblogs.com/guanlaiy/archive/2012/12/18/2822920.html)。输入指令G,让系统运行起来。一会将会中断。


第四步:输入lm,显示中断时系统加载的模块。可以看到,系统在加载360SelfProtection时,windbg 中断下来了。

第五步:输入命令lmDvm360SelfProtection,查看360SelfProtection的详细信息。将start下的地址记下。该地址为模块的加载基址。

第六步:根据PE结构计算出,驱动入口地址。BaseAddress+poi(poi(BaseAddress+0x3c)+BaseAddress+0x28)

第七步:输入指令g。使系统继续指令。系统断在该驱动模块的入口地址处



小猪背书包
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
驱动调试中怎么样让windbgDriverEntry
xum2008的专栏
01-18 2671
一般说来,调速驱动程序分为两种: 1.存在PDB文件的调试: 这里的PDB文件其实就是调试符号文件,假如我们调试的这样的文件,我们可以再windbg中使用 :bp  驱动名!DriverEntry,这个时候当加载驱动的时候,程序就会断在入口了。 2.没有PDB文件的调试: 在调试别人的驱动程序时,也就是自己只有bin,并且在这个bin没有PDB文件,以及你没有它的代码。这种
WinDBG调试驱动时中断DriverEntry的方法
CrazyWolf的专栏
09-06 2386
1.无符号文件的驱动中断DriverEntry方法一: a) 在加载驱动之前,先使用设置异常命令sxe,设置加载驱动文件时中断.命令格式:sxe ld b) 加载驱动中断后,使用lm命令查看驱动模块的基址.命令格式:lm m c) 通过计算PE文件入口点地址,得到DriverEntry的地址. 计算公式如下: DriverEntry = moduleBase + *(DWORD*
windbgDriverEntry下断点
死胖子的博客
02-15 740
驱动尚未加载时,使用:bp 驱动名!DriverEntry: 效果: 0: kd> bp gohome!DriverEntry Bp expression 'gohome!DriverEntry' could not be resolved, adding deferred bp 当驱动加载后自动断到驱动入口。
Windbg_15-分析自己的驱动程序
qq_33168924的博客
11-25 409
1.内容概要: 驱动程序是运行在操作系统内核层的代码,具有很高的执行权限。 学习驱动程序开发是一个漫长又艰辛的过程,也并非是学习windbg的必要条件。 但是windbg的一个非常重要的应用就是用来分析自己写的驱动程序。 1.1:分析内核层的代码需要双机调试环境: 通过Virtual-KD搭建双机调试环境前面讲过。 因为内核程序没有图形化界面,所以调试信息只能通过调试字符函数输出到调试工具(W...
windbg win7&win10.zip
05-18
这个名为"windbg win7&win10.zip"的压缩包包含了适用于不同Windows操作系统的Windbg版本,旨在满足用户在不同环境下进行调试的需求。 首先,压缩包中包含的WinDbg_X64_v10.0.18362.1.msi是Windbg的64位版本,适用于...
windbg 10.0版本 适用于win10
05-15
- **驱动程序调试**:Win10中的驱动程序开发和调试Windbg的主要应用场景之一,它可以调试内核模式的驱动,帮助开发者找到驱动程序中的bug。 - **性能分析**:通过Windbg,开发者可以分析系统性能瓶颈,例如CPU...
windbg windebug 最新版 for win10
03-21
在实际使用中,Windbg具备丰富的命令行选项和强大的脚本编写能力,用户可以通过学习其命令语法和扩展插件(如PDB符号文件)来提高调试效率。例如,`!analyze -v` 命令用于详细分析系统崩溃的原因,`g` 命令则可以...
真正Win10中可用的windbg10(Debugging Tools for Windows 10)
05-27
目前CSDN下载频道中的微软调试工具WinDbg(即Debugging Tools for Windows)大都不适用于Win10系统,在Windows10中会报错:Could not ...这里提供的WinDbg10下载自微软官网,适用于Win10系统(切记以管理员权限运行)。
win10 windbg 64
01-06
Debugging Tools for Windows 10 (WinDbg) If you just need the Debugging Tools for Windows 10, and not WDK 10 or Visual Studio 2015, you can install the debugging tools as a standalone component from ...
Windbg驱动DriverEntry函数下断点技巧
weixin_33885676的博客
06-29 721
Windbg对过滤驱动DriverEntry函数下断点技巧 方法1: 1> 先用DeviceTree.exe查看指定的过滤驱动的Load Address(加载地址) 2> 再用LordPE.EXE查看指定过滤驱动文件的入口点地址 3> 计算过滤驱动DriverEntry函数内存地址 DriverEntry函数内存地址 = Load Address + 入口...
WinDbg调试操作系统中中断系统时的常用命令
xkjcf 丛飞 家·国·天下
07-21 2503
0: kd> !idt //查看中断向量表内容 0: kd> dt nt!_KINTERRUPT 89c03bb0 //查看对应中断向量的详细内容 0: kd> !ioapic //显示I/O APIC(即连接至设备的中断控制部件) 0: kd> !pic
Windbg查看WFP驱动callout
q6771020的博客
06-03 568
kd> dp netio!gWfpGlobal L1 fffff801`96a63258 ffffe001`b9e025b0 kd> u netio!FeInitCalloutTable L10 NETIO!FeInitCalloutTable: fffff801`96a22490 4053 push rbx fffff801`96a22492 4883ec20 sub rsp,20h fffff801`96a22496 488b05bb0d0400 mov rax,qw
Windbg命令学习1(vertarget和lm和lmvm)
weixin_30527551的博客
05-09 1245
1.g可以让目标程序继续执行,ctrl+break可以挂起正在运行的目标程序回到调试模式 2.vertarget vertarget 命令显示目标机的Microsoft Windows操作系统版本 给个示例: 0:011> vertarget Windows XP Version 2600 (Service Pack 3) MP (4 procs) Free x86 ...
WinDbg命令常用命令(驱动
Hell的博客
06-26 587
刚开始研究驱动,对WinDbg的命令不熟练,写个文档记录一下,免得经常忘记。希望大佬不要说我是标题党查看内存!poolused 分析错误!analyze
Windbg内核调试之二: 常用命令
mergerly的专栏
09-26 1234
运用Windbg进行内核调试, 熟练的运用命令行是必不可少的技能. 但是面对众多繁琐的命令, 实在是不可能全部的了解和掌握. 而了解Kernel正是需要这些命令的指引, 不断深入理解其基本的内容. 下面, 将介绍最常用的一些指令, 使初学Kernel调试的朋友们能有一个大致的了解. 至于如何熟练的运用它们, 还需要实际的操作过程中进行反复的琢磨.Windbg能够方便的进行远程调试和本地进程调试(只
26.windbg-sx、ld(设置异常处理、设置模块加载时断下)
hgy413的专栏
05-24 7087
1.sx sx* 命令用来控制被调试的程序发生某个异常或特定事件时,调试器要采取的动作 sx 命令显示当前进程的异常列表和所有非异常的事件列表,并且显示调试器遇到每个异常和事件时的行为。 sxr 命令将所有异常和事件过滤器的状态重设为默认值。命令被清除、中断和继续选项被重设为默认值,等等。 sx这个命令的输出信息可以分为三个部分: 第一部分是事件处理与相应处理模式的交互,第二部分是标准的...
调试器控制异常和事件:SXE、 SXD、 SXN、SXI
热门推荐
无本之木
09-03 1万+
控制异常和事件 在用户模式和内核模式应用程序中有很多方法用于截获和处理异常。激活的调试器、即时调试器或内部的错误处理程序都是异常处理的通常方法。 关于这些错误处理方式优先等级的更多信息,查看启用即时调试。 当Microsoft Windows操作系统允许由调试器来处理异常时,产生异常的程序会中断到调试器。即应用程序止运行而调试器被激活。之后,调试器可以用各种方式处理掉异常或者分
windbg只支持win10
最新发布
08-20
然而,Windbg并不仅仅支持Win10,它也可以在其他版本的Windows上使用。 Windbg最早是作为Microsoft的开发工具集合中的一部分,支持分析所有版本的Windows操作系统。它可以在Windows XP、Windows 7、Windows 8和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值