Windows驱动
关注
分享
扫一扫
hacklaolang
这个作者很懒,什么都没留下…
展开
-
WinDBG调试驱动时中断DriverEntry的方法
1.无符号文件的驱动中断DriverEntry方法一:a) 在加载驱动之前,先使用设置异常命令sxe,设置加载驱动文件时中断.命令格式:sxe ld b) 加载驱动中断后,使用lm命令查看驱动模块的基址.命令格式:lm m c) 通过计算PE文件入口点地址,得到DriverEntry的地址.计算公式如下:DriverEntry = moduleBase + *(DWORD*原创 2013-09-06 01:51:36 · 2505 阅读 · 0 评论 -
内核PspCidTable句柄表遍历获取隐藏进程
先从WinDBG中来看下PspCidTable.lkd> dd pspcidtable84196eb4 8ae011c8 00000000 80000018 0000010184196ec4 800005e0 80000020 00000000 0000000084196ed4 00000000 00000000 00000000 0000011384196ee4 0000原创 2013-09-23 14:27:38 · 2493 阅读 · 0 评论