无符号驱动调试 win10

已于 2022-03-31 12:33:46 修改
阅读量3.5k 收藏 1
点赞数 1
分类专栏: 逆向安全 内核安全与驱动开发 病毒分析 文章标签: 安全
于 2022-03-06 14:17:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37175419/article/details/123307591
版权

病毒驱动调试

调试环境

作为一个安全研究者,肯定会遇到调试病毒驱动的时候;那在win10 环境下怎么调试驱动呢?

双机调试环境

请自行参阅:
VirtualKD-Redux  /https://github.com/4d61726b/VirtualKD-Redux
(可以调试新版vmware virtualbox 虚拟机)

具体步骤

  • Win10 iso
  • Windbg
  • 病毒驱动样本
  • VirtualKD-Redux
  • vmware 16
  • inst
    搭建的步骤:

    1. 创建虚拟机(vmware 16+ win10 iso)

    2. 打开VirtualKD-Redux 配置WinDbg 调试器

    3. 复制VirtualKD-Redux里面的target >x64 到虚拟机 点击运行

    4. 重启虚拟机 F8 禁用驱动签名校验

    5. 然后 uf nt!IopLoadDriver,找到 call nt!MmLoadSystemImage bp这条指令,(当安装、启动病毒驱动)断下来后 F10跳过执行后 ,就能对目标病毒驱动模块下断点了

    6. 配合IDA计算病毒驱动的DriverEntry 或者 目标地址偏移 Addr - imagebase

    7. 对目标地址bp下断点
      效果图:
      在这里插入图片描述

      在这里插入图片描述
      在这里插入图片描述
      当前断点 RIP 刚好是 DriverEntry(),如IDA 截图
      在这里插入图片描述
      额 貌似有混淆…
      在这里插入图片描述

驱动加载分析

如下图,栈回溯可以看到,在nt!IopLoadDriver+0x4c2 之前那一步执行后, 执行流就会到 DriverEntry()
在这里插入图片描述
看一下此处的反汇编:nt!IopLoadDriver+0x4c2 的前一步是 call nt!guard_dispatch_icall
在这里插入图片描述
所以调用的流程是:

nt!IopLoadDriver ->  nt!guard_dispatch_icall-> Dest!DriverEntry()

(异常记录: nt!guard_dispatch_icall() 里面下断点虚拟机会假死,windbg 也收不到调试信息了应该是断开连接了,详细情况可能还需要单步跟下)

leibso
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WIN10 驱动开发环境从0搭建 (内含调试程序下载 驱动开发必看)
张公子的博客
11-08 851
本文记录如何配置一个可使用的驱动开发环境。
调试无符号驱动
qycer的专栏
08-07 794
源自:http://hi.baidu.com/abinhebaijie/item/b7953e432cc8c6a261d7b9e0 似乎很多人都不知道如何动态调试无符号驱动。   先用随便哪个PE文件信息查看工具查看驱动加载的基址,一般来说是0x10000,当然你也可以用IDA看。然后用IDA打开驱动,看DriverEntry的偏移,然后用这个偏移减去基址,得到a。用windb
无符号 coredump调试
weixin_30764137的博客
10-31 492
书到用时方恨少 调试一个dnn程序就遇到了这类问题,coredump的调试, $gdb ./bin_file coredump_file 简单使用bt发现其中没有载入任何符号信息,扫兴的是一堆: ??? 这类情形被定性为 无符号调试,有些文章或者大牛给出的方式往往针对 “无符号 or stack 损坏”的调试, 这里首先检查一下shared-lib的载入情况: gdb shell...
VS2015+VMware(WIN7)+主机WIN10 驱动调试提速
i华仔的专栏
05-09 461
参考https://www.cnblogs.com/sunylat/p/6217543.html这篇文章搭建的调试环境双击调试时非常慢 原因:WIN7不支持NET模式调试,只能使用COM方式,受传输速率的限制,因此调试非常慢 如何提速: 方法一:虚拟机采用WIN10,使用NET模式连接 方法二:VirtualKD参考(https://blog.csdn.net/lxc1014/art...
gdb 调试无符号程序 反汇编查看入参
聆听风雨的博客
12-25 1562
调试C/C++程序时,如果所调试的程序时无符号的,此时可以通过反汇编来进行调试
VT虚拟化技术,VT驱动调试器,自建调试体系,反反调试技术,内核驱动,VT过保护,VT源代码
04-27
支持平台 win10 x64 intel architecture cpu. 环境:vs2019 driver sdk 19041,kernelModeDriver10.0 有需要学习的朋友可以下载来看看,里面有VT完整的安装框架代码,以及用户层MFC工具源代码,中文备注,很多学习vt...
Windbg_win10_X64.zip
03-28
在"Windbg_win10_X64.zip"这个压缩包中,包含的可能是一个已经配置好,并适配Windows 10 x64环境的Windbg版本。用户解压后,可以直接使用,无需额外安装,便于快速进行调试工作。 使用Windbg时,用户需要对Windows...
instantclient-basic-win32-11.2.0.1.0,oci.dll库,驱动等,亲测可用!!!
06-12
PL/SQL Developer是一款强大的Oracle数据库开发工具,它支持编写、调试、执行PL/SQL代码,并能方便地管理数据库对象。在描述中提到"plsql连接oracle",这意味着Instant Client配合oci.dll可以用来通过PL/SQL ...
Windows 11 版本 WDK中windbg调试插件
07-22
例如,可能提供了一键加载驱动符号、快速查看驱动状态、或者自定义的调试宏等功能。这种集成使得开发者无需在Visual Studio和Windbg之间频繁切换,从而提高工作效率。 Visual Studio 2019作为微软的旗舰级开发环境...
windbg 调试工具 解决电脑蓝屏
06-20
3. **符号处理**:与微软的符号服务器配合,可以获取到系统及驱动程序的详细符号信息,便于理解代码含义。 4. **断点设置**:允许在特定地址或条件满足时暂停执行,以便观察程序运行状态。 5. **数据查看**:可以...
win10 VMWare + windbg 驱动调式环境设置
2403_83063732的博客
02-21 416
windows 使用VMware WIN10系统调试驱动代码
windows 驱动与内核调试 学习
不会写代码的丝丽
10-15 2314
一般驱动需要运行内核权限下运行(因为涉及硬件读取),比如Intel下的ring 0权限下。在windwos大量病毒和杀软为了特殊目的往往都是通过将自身升级为内核驱动方式进行运作。如果病毒程序首先进入ring 0理论上可以杀软将毫无作用。微软为了扼杀此类程序在windwo7 64位系统上会强制校验驱动程序签名,如果签名非微软认可将不会被加载。微软官方驱动学习指南。
使用 VMware + win10 + VirtualKD + windbg 从零搭建双机内核调试环境
03-19 1868
原总结debug调试kernel debugwindbgbcdeditvirtualKD转储双机调试双机内核调试 前言 当我们没有两台物理机时,又想做双机内核调试怎么办?当然是装虚拟机啦!本文总结了使用 VMware15.5 + win10 + virtualkd + windbg 搭建双机内核调试环境。 安装环境 VMware 版本: 15.5 pro 。可...
计算机蓝屏分析报告,终于有蓝屏报告了,请帮忙分析一下
weixin_33380613的博客
07-23 1326
蓝屏了一个月了,痛苦了一个月了,终于把蓝屏报告弄出来了,之前没有DMP文件。废话不多说,贴上分析结果,各位一定要帮我分析下,以前从来不蓝屏的。Microsoft (R) Windows Debugger Version 6.11.0001.404 X86Copyright (c) Microsoft Corporation. All rights reserved.Loading Dump Fil...
Windows x64内核学习笔记(六)—— LFENCE&CFG
qq_41988448的博客
03-09 1496
Windows x64内核学习笔记(六)—— 硬件漏洞补丁&CFG预测执行实验一:理解预测执行幽灵漏洞LFENCECFG_guard_dispatch_icall参考资料 预测执行 众所周知,CPU的运行速度是非常快的,每秒能执行百千万条指令,而指令是从哪里来的呢,当然是从内存中读取的。由于内存的运行效率低于CPU,就导致了一个问题,即CPU访问内存的速度远大于内存访问CPU的速度。 那么,应该怎么做,才能将CPU的性能尽可能利用起来呢? CPU处理一条指令大致可以分为四个阶段:读取指令、翻译指令
无符号驱动 加载时找入口点
qq_41490873的博客
04-07 346
dt _DRIVER_OBJECT nt!_DRIVER_OBJECT +0x000 Type : Int2B +0x002 Size : Int2B +0x008 DeviceObject : Ptr64 _DEVICE_OBJECT +0x010 Flags : Uint4B +0x018 DriverStart : Ptr64 Void +0x020 DriverSize .
VirtualKD + Windbg 调试Win10虚拟机
weixin_30740581的博客
09-14 872
安装完vminstall后,先在运行中输入"msconfig"命令,显示如下窗口。 首先点击“引导”选项卡,然后选择最后一个引导项(Disable Signature Enforcement Manually!!!Press F8 [VirtualKD] C:\Windows : 默认OS),然后点击“高级选项...”按钮。显示如下窗口 做好这些,按照跟以前一样的方式调试就行了...
VirtualKD 双机调试 Win10 无法弹出 Windbg 解决方法
Sprite雪碧
04-03 2376
虚拟机里 msconfig -> 引导 -> VirtualKD启动项 -> 高级选项 -> 调试端口,将 1394 改成 com1 感谢群友 @Neil_360 提供的解决方法 Windbg 无法接收打印的信息 进入注册表 在 计算机\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Ma...
Windows硬件驱动调试说明
最新发布
02-29
"Windows硬件驱动调试说明文档提供了关于如何在Windows操作系统上调试硬件驱动的详细步骤和工具,特别是使用WinDbg这一强大的调试器。文档涵盖了WinDbg的新特性、支持的操作系统、处理器架构以及安装和更新过程。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值