WinDbg无符号调试DriverEntry中断

于 2024-03-07 16:42:46 发布
阅读量577 收藏 6
点赞数 9
分类专栏: 驱动开发 WinDbg 文章标签: 调试 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38933606/article/details/136538256
版权

无符号文件的驱动中断DriverEntry方法

当我们调试有符号的windows驱动时,通常可以使用bu module!DriverEntry, 在模块的DriverEntry位置打上断点。
那么对于无符号驱动,应该如何找到DriverEntry函数的位置呢?
驱动加载调用栈

从正常的DriverEntry的调用栈栈中可以看到驱动加载的调用路径基本上如下所示。

nt!IopLoadDriver->nt!PnpCallDriverEntry->module!DriverEntry

虽然每个系统的实现可能存在差异,但是基本上都会调用到IopLoadDriver函数。
因此,我们可以使用uf nt!IopLoadDriver命令查找 nt!IopLoadDriver的下层调用。

函数调用
上图中可以看到在pe文件后,又通过nt!PnpCallDriverEntry进入了下层函数。
然后在反汇编窗口中可以发现,这里通过CFG的派遣调用方式执行了RAX指向的函数。

驱动加载点
因此,我们在上图红色位置打下断点,等待内核执行到这里,查看RAX的地址。即驱动的DriverEntry入口点。

_guard_dispatch_icall
描述:_guard_dispatch_icall是CFG机制的派遣函数。

在内核中,许多函数都需要进行间接调用,出于安全性考虑,避免目标地址被控制,因此不会直接CALL目标地址,而是先通过_guard_dispatch_icall检查地址合法性,并由其进行调用,如果地址合法,它的作用相当于「CALL RAX」。

摩尔の
关注
  • 9
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
windbg调试和断点学习总结2
bcbobo21cn的专栏
12-13 1万+
WinDbg 设置断点 在windbg中,断点设置的地址形式有好多种,可以是以下几种: 1.虚拟地址:即给出直接地址,如 12345678 2.函数偏移量:如DriverEntry+5c. 3.源代码+行数 :`[[Module!]Filename][:LineNumber]` 4.对C++可以对模块中的某个类的方法设置断点:   设置断点语法:           1:
windbg调试驱动学习总结
bcbobo21cn的专栏
03-19 4071
简单驱动编写与windbg调试 http://trustsec.blog.51cto.com/305338/64694/ 一.驱动编写 随着对windows系统的深入研究,越来越多的内核方面的知识被挖掘出来了,今天我们讨论下如何写一个 简单的驱动,并使用现在比较新的windbg调试器进行调试。首先写驱动要对驱动有一个比较全面的认识 。 一个简单的驱动一般有以下几
windbg停在无符号驱动的DriverEntry(WIN10)
93Storm
07-29 799
第一步:获取需要调试驱动名字。 第二步:搭建“VM+windbg”双机调试环境 第三步:在宿主机windbg中输入:sxe ld 360SelfProtection.sys(注;sxe 当发生该异常时,在任何错误处理器被激活之前目标立即中断调试器中。ld;Load Module)。输入指令G,让系统运行起来。一会将会中断。 第四步:输入lm,显示中断时系统加载的模块。可以看到,系统在加
WinDBG调试驱动时中断DriverEntry的方法
CrazyWolf的专栏
09-06 2374
1.无符号文件的驱动中断DriverEntry方法一: a) 在加载驱动之前,先使用设置异常命令sxe,设置加载驱动文件时中断.命令格式:sxe ld b) 加载驱动中断后,使用lm命令查看驱动模块的基址.命令格式:lm m c) 通过计算PE文件入口点地址,得到DriverEntry的地址. 计算公式如下: DriverEntry = moduleBase + *(DWORD*
双机调试环境搭建 windbg + virtualkd
weixin_41111116的博客
08-21 2415
双机调试环境搭建
winDBG调试符号配置
08-23
winDBG 是一个强大windows 系统调试工具。它的配置也是需要仔细的学习,尤其是调试符号的配置。没有配置好调试符号,基本上发挥不了它的作用。
windbg加载符号问题
02-02
符号windbg工作的重要依据,缺少调试符号windbg有可能显示错误的结果。这是设置本地符号目录,以及定义符号服务器
windbg c++开发调试工具
01-02
windbg c++开发调试用工具,直接可用 绿色免安装。。。。。。
windbg调试工具.zip
01-08
windbg调试工具,用于分析dump文件,查看异常堆栈,很好用的c++开发人员辅助工具。
node-v0.10.13-sunos-x86.tar.gz
最新发布
05-16
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
课设毕设基于SSM的高校二手交易平台-LW+PPT+源码可运行.zip
05-16
课设毕设基于SSM的高校二手交易平台--LW+PPT+源码可运行
软件设计师讲义.md
05-16
软件设计师讲义.md
时间序列预测,股票方向应用,使用transformer-lstm融合的模型算法
05-16
适用人群 针对有一定机器学习和深度学习背景的专业人士,特别是那些对时间序列预测和Transformer以及LSTM模型有兴趣的人。需要一定的Python知识基础 适用场景 用于处理时间序列数据,尤其是在金融领域,示例是股票价格预测。Transformer模型和LSTM的混合使用表明,代码的目的是利用这两种模型的优势来提高预测准确性。 目标 代码的主要目标是利用Transformer模型和LSTM模型来预测时间序列数据,如股票价格。通过实现这两种模型,代码旨在提供一个强大的工具来进行更准确的时间序列分析和预测。
Autojs-PJYSDK-泡椒云网络验证-v1.15.zip
05-16
Autojs-PJYSDK-泡椒云网络验证-v1.15.zip
nodejs-ia32-0.10.20.tgz
05-16
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
Java项目之jspm足球俱乐部网上商城系统(源码 + 说明文档)
05-16
Java项目之jspm足球俱乐部网上商城系统(源码 + 说明文档) 第二章 技术介绍 5 2.1 结构简介 5 2.2MySQL 介绍 5 2.3MySQL环境配置 5 2.4Java语言简介 6 2.5JSP技术 7 2.6 SSM框架 7 第三章 系统分析与设计 9 3.1系统说明 9 3.2系统可行性分析 9 3.2.1技术可行性 9 3.2.2经济可行性 9 3.2.3操作可行性 10 3.2.4运行可行性 10 3.3系统的设计思想 10 3.4系统功能结构 11 3.5系统流程分析 12 3.5.1操作流程 12 3.5.2添加信息流程 13 3.5.3删除信息流程 14 第四章 数据库设计 15 4.1数据库概念设计 15 4.2数据表设计 16 第五章 系统的详细设计 23 5.1系统首页的设计 23 5.2后台功能模块 25 5.2.1管理员功能模块 25 5.2.2用户功能模块 27 第六章 系统测试 29 6.1系统测试方法 29 6.2系统功能测试 29
windbg本地内核调试
07-13
对于使用Windbg进行本地内核调试,你可以按照以下步骤进行操作: 1. 首先,确保你已经安装了Windows Debugging Tools,其中包含了Windbg工具。 2. 确保你的目标系统和调试主机连接在同一个局域网中,并且可以相互通信。 3. 在目标系统上,打开一个管理员权限的命令提示符窗口。 4. 输入以下命令来启动本地内核调试: ``` bcdedit /debug on bcdedit /dbgsettings local ``` 这些命令会将目标系统配置为启用本地内核调试,并将调试器设置为本地。 5. 在调试主机上,打开Windbg工具。 6. 选择"File"菜单中的"Kernel Debug"子菜单,然后选择"Local"选项。 7. 在"Kernel Debugging"对话框中,选择适当的调试接口和端口。 8. 点击"OK"按钮,Windbg将会等待目标系统连接。 9. 在目标系统上,重新启动计算机。 10. 当目标系统重新启动并且Windbg显示"Waiting to reconnect..."消息时,按下目标系统上的键盘上的"Break"键,以中断启动过程。 11. 目标系统将会连接到调试主机,并进入调试模式。你现在可以使用Windbg来进行内核调试。 请注意,本地内核调试需要一些额外的配置和设置,并且需要一定的调试经验。确保你已经了解了相关的调试工具和技术,以及如何分析和解决内核级别的问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值