Windbg_15-分析自己的驱动程序

最新推荐文章于 2023-06-24 21:41:22 发布
最新推荐文章于 2023-06-24 21:41:22 发布
阅读量448 收藏 1
点赞数
分类专栏: 软件调试 文章标签: wdbg使用 软件调试 windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33168924/article/details/103243567
版权

1.内容概要:

  • 驱动程序是运行在操作系统内核层的代码,具有很高的执行权限。
  • 学习驱动程序开发是一个漫长又艰辛的过程,也并非是学习windbg的必要条件。
  • 但是windbg的一个非常重要的应用就是用来分析自己写的驱动程序。

1.1:分析内核层的代码需要双机调试环境:

通过Virtual-KD搭建双机调试环境前面讲过。

因为内核程序没有图形化界面,所以调试信息只能通过调试字符函数输出到调试工具(Windbg)显示。

Windows 7默认对调试信息做了过滤处理,因此我们需要修改注册表设置开启windows7的调试信息输出功能。

如何修改注册表:

将下面内容写到.txt文本,将.txt文件后缀改为.reg。双击执行文件就修改,注意操作应该在Vmware的

window 7虚拟机中进行。
在这里插入图片描述

使程序自动中断:

​ 调试驱动程序不同与调试用户程序:它运行不会自动中断。

​ 用户层程序被调试时,自己就能够主动中断下 来。

​ 驱动被加载到内核后,并不会主动断下来,所以需要人为的添加断点。

1.2:实验演示:

需要在vs中安装和SDK版本对应的WDK,安装过程略。

新建一个WDM驱动程序作为调试:
在这里插入图片描述

程序源码:
在这里插入图片描述

在这里插入图片描述
将驱动拷贝到虚拟机中,网上下载一个驱动加载程序,因为驱动需要加载程序加载才能启动。前提是搭建好双机

调试环境:
在这里插入图片描述
在这里插入图片描述

0rch1d
关注
专栏目录
【愚公系列】2023年06月 内存分析WinDbg(IDA+WinDbg驱动调试
时光隧道
06-14 4531
IDA和WinDbg是两款不同类型的调试工具,通常用于不同的场景。IDA(Interactive DisAssembler)是一款交互式反汇编器,主要用于静态分析和反汇编二进制程序。它可以将二进制程序反编译成汇编语言,并提供了许多分析工具,可以查看反汇编代码,图形化地展示代码结构,并且可以跟踪代码的执行流程。IDA的优点是易于使用、功能强大、反汇编效果好,但是它不能用于动态调试
简单的驱动程序分析
qq_31917863的博客
04-28 938
应用程序APP调用open() read() write()等函数进入到内核,这些函数是在C库中实现的,内核跟据相关属性调用系统调用sys_open(),sys_read()等,系统调用根据你打开文件的属性去找到对应的更底层的驱动程序,录入字符设备,块设备等。例如app调用open()打开LED灯,open()会一直调用到底层的LED驱动程序led_open,这中间是怎么实现的?下面以一个简单的驱...
WinDbg dump 分析(驱动蓝屏分析)
zhuhuibeishadiao
03-31 2144
minidump 和核心dump 的区别在于一个速度快一些 一个慢一些 结果都是一样的(暂定) 加载dump文件 File – > Open Crash Dump… 设置并加载符号 不多说 设置源文件路径 //不是打开源文件 是设置 在设置符号的下面 !analyze –v kv/kp/kb .open –a address //根据地址或符号+偏移定位到代码行 蓝屏常见原因
分析几个驱动
weixin_34221773的博客
07-25 86
文件过滤驱动 一个典型的ifs   filter,请参考ifs   ddk的例子sfilter。这个例子已经足够了Filemon这是一个nt驱动, 源代码包括exe和sys两部分. exe里面的Instdrv.c负责安装驱动, Filemon.c负责UI显示和与驱动通信sys里面主要文件为Filemon.c, 分发函数为FilemonDispatch和FastIOHook, 前者负责与UI通信Fi...
Windbg 调试驱动 实战
张昆
10-29 3286
驱动
【转帖】驱动调试攻略(WinDbg)
floweronwarmbed的专栏
11-01 1065
 驱动调试是一个系统级调试方式,所以调试工具用WinDbg是最佳选择。驱动调试一般情况下,需要两台电脑进行。一台作为主机进行驱动调试,另一台作为目标机进行驱动安装。当然如果没有多余的电脑,我们可以安装VMware模拟系统调试(虚拟机)。只是对电脑的配置要求比较高。本文介绍使用WinDbg及WMware进行调试的具体设置及方法。这些资料在网络很难找到,笔者也是吸取了他人很多宝贵意见才完成的,供大家学
HideDriver-master_HideDriver_HideDriver-master_驱动隐藏断链_隐藏驱动模块例子.z
10-10
在IT领域,尤其是系统安全和恶意软件分析中,驱动隐藏和断链技术是常见的策略,用于使某些驱动程序在操作系统中变得不可见或者难以检测。 驱动隐藏通常指的是通过特定的技术手段,使得系统管理工具、杀毒软件等无法...
WinDbg_preview_1.1910.3003.0.zip
10-10
1. **调试内核模式驱动程序**:内核模式调试允许直接查看操作系统内部的运行情况,检查驱动程序的行为,找出可能导致系统不稳定或性能问题的原因。 2. **用户模式应用调试**:针对应用程序崩溃或异常,WinDbg能帮助...
windbg_X64蓝屏分析工具
02-07
Windows操作系统中,蓝屏(Blue Screen of Death, 简称BSOD)通常是由于硬件故障、驱动程序问题或系统内核错误导致的。当遇到蓝屏时,系统会生成一个内存转储文件(DMP),这个文件包含了系统崩溃时的详细信息。...
windows xp下的pci设备驱动程序开发.rar_PCI驱动_pci_windows xp_设备驱动程序
09-20
Windows XP操作系统中开发PCI(Peripheral Component Interconnect)设备驱动程序是一项复杂而关键的任务,因为PCI设备是计算机硬件系统中的核心部分,它们负责提供高速数据传输和与其他硬件组件的交互。...
WinDbg_v10.0_x86_x64
01-17
6. **内核调试**:WinDbg可以用于内核调试,这对于排查操作系统核心问题或驱动程序问题极其有用。 7. **符号支持**:WinDbg可以使用微软的符号服务器获取精确的代码行信息,这对于理解代码执行路径非常有帮助。 8....
WinDbg下断驱动入口
莫灰灰的专栏
05-28 2250
这个问题虽然是比较老了,但是看雪上还有同学提到,在这里做个总结,给像我这样的新手看看。   1)直接修改入口 用c32asm或者其他PE编辑工具,修改开头的几个字节,改成cc,即int 3。这样,驱动加载的时候就会断在这里了。 ps:这种方法对于有校验的驱动可能不太适用。 2)下断IopLoadDriver 这里的EDI其实就是DriverObject。Driv
驱动分析——相关头文件包含
甜不啦啦啦的博客
11-24 410
#include //module_init() & module_exit() #include //__init() & __exit() #include //register_chrdev() & unregister_chrdev() #include //copy_from_user() & copy_from_user() #include #include
驱动调试中怎么样让windbg停在DriverEntry
xum2008的专栏
01-18 2700
一般说来,调速驱动程序分为两种: 1.存在PDB文件的调试: 这里的PDB文件其实就是调试符号文件,假如我们调试的这样的文件,我们可以再windbg使用 :bp  驱动名!DriverEntry,这个时候当加载驱动的时候,程序就会断在入口了。 2.没有PDB文件的调试: 在调试别人的驱动程序时,也就是自己只有bin,并且在这个bin没有PDB文件,以及你没有它的代码。这种
windbg停在无符号驱动的DriverEntry(WIN10)
93Storm
07-29 843
第一步:获取需要调试驱动名字。 第二步:搭建“VM+windbg”双机调试环境 第三步:在宿主机windbg中输入:sxe ld 360SelfProtection.sys(注;sxe 当发生该异常时,在任何错误处理器被激活之前目标立即中断到调试器中。ld;Load Module)。输入指令G,让系统运行起来。一会将会中断。 第四步:输入lm,显示中断时系统加载的模块。可以看到,系统在加
32位/64位WINDOWS驱动windbg双机调试
最新发布
a756598009的博客
06-24 3817
windbg双机调试环境配置第一步关掉虚拟机如果有打印机请移除打印机(打印机会占用端口)添加-添加串行端口-完成选择使用命名的通道-名字为 \.\pipe\abc123(对应下面的COM1) -确定-在开启虚拟机在虚拟机命令行里面输入 msconfig 来到系统配置 -引导-第二个高级选项 -勾选调试-勾选调试窗口-选择COM1;-确认-重新启动-启动的时候选择下面的调试系统来到自己电脑系统搜索windbg
Windows 驱动开发 之 WinDbg调试(一)
Time Limit Exceeded on test 99
06-16 1685
Windbg 调试课程相关笔记
windbg调试内核驱动
Lady__Killer的博客
12-01 813
一、准备工作 主机:Windows 7 x64虚拟机:VMware 10VMOS: Windows7 x64WDK: Windows Driver Kit 8.1调试工具:Windbg 二、虚拟机配置 请参考虚拟机设置 三、Windbg设置 给WinDbg建个快捷方式,设置启动参数 -b -k com:pipe,port=\\.\pipe\com_1,reset
使用WinDbg与虚拟机调试Windows驱动程序
本文主要讲述了如何使用WinDbg和虚拟机进行Windows驱动程序调试WinDbg是一款强大的调试工具,尤其适用于内核级调试,而虚拟机则提供了一个安全的环境来运行和调试驱动程序,避免对主机系统造成影响。 在调试...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值