Windbg对过滤驱动DriverEntry函数下断点技巧

最新推荐文章于 2024-11-12 20:09:32 发布
转载 最新推荐文章于 2024-11-12 20:09:32 发布 · 1.8k 阅读 · 2
文章标签:

#service #module

本文介绍了在Windows环境下,如何针对驱动程序的DriverEntry函数设置断点进行调试的方法。包括使用DeviceTree.exe和LordPE.EXE获取加载地址及入口点地址、利用Windbg的bu命令等四种实用技巧。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

方法1:
1> 先用DeviceTree.exe查看指定的过滤驱动的Load Address(加载地址)
2> 再用LordPE.EXE查看指定过滤驱动文件的入口点地址
3> 计算过滤驱动的DriverEntry函数内存地址 DriverEntry函数内存地址 = Load Address + 入口点地址
例子:
1> Load Address = 0xFAABF000
2> 入口地址 = 0x3400
3> Windbg下断点 bu 0xFAABF000+0x3400

方法2:
1> 先用DeviceTree.exe查看指定的过滤驱动的Service Name
2> 再用LordPE.EXE查看指定过滤驱动文件的入口点地址
3> 计算过滤驱动的DriverEntry函数内存地址 DriverEntry函数内存地址 = Service Name + 入口地址
例子:
1> Service Name是 ntfs
2> 入口地址 = 0x3400
3> Windbg下断点 bu ntfs+0x3400

方法3

windbg调试时,通过u Module!DriverEntry看到机器指令,然后选一个恰当的地址(或者直接DriverEntry第一条指令的地址也可)比如是f8399695,那么,直接bu f8399695即可。

或者有符号文件,则直接 bu Module!DriverEntry

方法4:

编写源代码时,在DriverEntry开头,加
#ifdef DBG
_asm int 3
#endif

那么,调试时,执行到DriverEntry的int 3,自然会停下来。

DriverEntry

补充:注意,在DriverEntry处下断点,最好是用bu命令,而不是bp命令。

bu命令用来设置一个延迟的、以后再求解的断点,对未加载模块中的代码设置断点。

实现原理:当指定模块被加载时,才真正设置这个断点。

对动态加载模块的入口函数或初始化代码处 加断点特别有用。

http://www.cppblog.com/flytosky2008gao/archive/2009/08/16/93477.aspx

windbg调试驱动学习总结
bcbobo21cn的专栏
03-19 4639
简单驱动编写与windbg调试 http://trustsec.blog.51cto.com/305338/64694/ 一.驱动编写 随着对windows系统的深入研究,越来越多的内核方面的知识被挖掘出来了,今天我们讨论下如何写一个 简单的驱动,并使用现在比较新的windbg调试器进行调试。首先写驱动要对驱动有一个比较全面的认识 。 一个简单的驱动一般有以下几
Windbg过滤驱动DriverEntry函数断点技巧 【zt】
namelcx的专栏
11-16 1408
Windbg过滤驱动DriverEntry函数断点技巧 方法1: 1> 先用DeviceTree.exe查看指定的过滤驱动的Load Address(加载地址) 2> 再用LordPE.EXE查看指定过滤驱动文件的入口点地址 3> 计算过滤驱动DriverEntry函数内存地址 DriverEntry函数内存地址 = Load Address + 入口点地址 例子: 1> Loa
调试没有符号的驱动时如何断在入口点处
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
08-14 1295
关于调试没有符号的驱动时如何断在入口点处这个问题,先说一个我听来的很挫的方法:用C32ASM修改DriverEntry处为0xCC,就是int 3,修正校验和后加载,执行到DriverEntry时产生int 3异常自然就会中断在调试器了,这时再把原来的指令改回去继续跑就行了.改来改去的,确实比较挫~~. 那么怎么做比较好一点呢? 我们都知道有符号时直接bu drivername!DriverE
WinDBG常用断点命令
weixin_34146805的博客
12-21 255
WinDBG提供了多种设断点的命令: bp命令是在某个地址下断点, 可以 bp 0x7783FEB 也可以bp MyApp!SomeFunction。 对于后者,WinDBG 会自动找到MyApp!SomeFunction对应的地址并设置断点。 但是使用bp的问题在于:1)当代码修改之后,函数地址改变,该断点仍然保持在相同位置,不一定继续有效; 2)WinDBG...
调试无符号的驱动
qycer的专栏
08-07 876
源自:http://hi.baidu.com/abinhebaijie/item/b7953e432cc8c6a261d7b9e0 似乎很多人都不知道如何动态调试无符号的驱动。   先用随便哪个PE文件信息查看工具查看驱动加载的基址,一般来说是0x10000,当然你也可以用IDA看。然后用IDA打开驱动,看DriverEntry的偏移,然后用这个偏移减去基址,得到a。用windb
windbg 基本知识
CAir2的专栏
06-18 504
1. 元命令:以.开头的命令。eg:.reload 2. 扩展命令:以!开头的命令。eg:!lmi 进程线程限定符 观察模块信息 lm 1. m:指定模块名的过滤模式。eg:lm m k* 以k开头的模块 2. M:指定模块路径的过滤模式 3. o:只显示加载的模块 4. l:只显示已经加载符号的模块 5. e:死按时有符号问题的模块 分析符号 x [Options]...
WinDBG调试技巧断点与软件断点解析
当指定模块被加载时,WinDBG会自动落实这个断点,这对于调试动态加载的代码非常有用,如驱动程序的DriverEntry函数。 除了基本的断点设置,WinDBG还允许用户自定义断点的行为。例如,可以设置断点只在特定条件下...
Windbg断点调试
Geons的花园阳台
02-28 853
[文章主题]Windbg是Windows驱动调试的重要软件,也是必须学习的软件,前面的博客介绍了一些双机调试的环境配置,只要按照我所说的步骤一步步下来就可以完成环境搭建。本文主要介绍如何调试sys格式的驱动文件,网上很多资料都说得含糊不清,甚至有博主就是简单翻译外文资料,根本没有实际应用,这篇文章将解决这些问题。[环境配置]VM虚拟机(已安装XP系统)DriverMonitor(安装在XP系统中)...
《Windows 文件系统过滤驱动开发教程(第二版)》
03-21
《Windows 文件系统过滤驱动开发教程(第二版)》是一本深度探讨Windows操作系统中文件系统过滤驱动程序开发的专业书籍。在Windows系统中,文件系统过滤驱动是内核模式驱动程序的一部分,它们位于文件系统驱动(如...
WinDbg调试:驱动程序中断调试与双机环境搭建
首先,为了便于调试驱动程序,作者在DriverEntry入口函数中添加了INT 3系统中断的汇编代码,以便在驱动程序装载后能够暂停执行。这个过程涉及到了x64系统的汇编编程技术,但具体实现细节在文档中并未详述,有兴趣的...
LordPE软件
04-11
LordPE是一款功能强大的PE文件分析、修改、脱壳软件。LordPE是查看PE格式文件信息的首选工具,并且可以修改相关信息。LordPE的最新版本,改进了许多东东,PE 编辑器的功能更加强大,加入了各项目的16进制编辑和列表,除了修补了LDS(LordPE Dumper Server)的一些bugs,还增加了一个LDE(LordPE Dumper Engine),支持新的插件格式,功能增加了,还加入了一些yoda自己写的软件,对了,还有一项新的功能,就是:全球首先支持新的 pe 文件格式---pe+,但是只是支持编辑,还不支持脱壳等别的操作。配合手动脱壳工具(Ollydbg等)、ImportREC 等,学习调试手动脱壳必备的工具!
PE脱壳软件修复LordPE_fix.EXE
01-24
程序名称:LordPE Deluxe 增强版 版 本:1.4 汉 化 人:cao_cong 联系方式:cao_cong_hx@yahoo.com.cn 使用说明: 这个工具大家应该也比较熟悉吧?这是另一款PE编辑工具,号称是“最好的PE文件修改工具”。这个增强版本是我在看雪学院上看到的,原来是看雪兄的大作。正好我以前汉化过这个软件(自己用的,没发布过),顺便套用一下以前的资源,把它给汉化了(里面所附带的工具基本上都汉化了)。可能有许多兄弟都比较喜欢用这个软件,这次发出来希望能给大家带来一点方便。这个增强版的主要更新(根据看雪兄的readme文件): (1) 为LordPE查看输入表部分加上搜索功能 (2) 为LordPE查看输入表部分加右键菜单(仅复制ThunkRVA/FirstThunk列). (3) 当点击LordPE查看输入表部分中"View always FirstThunk",保持光条在原来位置.(LordPE默认会将光条置到0行) (4) 修改FLC(File Location Calulator)窗口中各个文本框(VA,RVA,Offset)为只读属性,此时可以用鼠标复制里面的文本.(LordPE原来是将文本框禁止变灰,此时不可复制) 不过上面的第二条查看输入表部分的右键菜单我没看到。难道是我的系统(XP_SP2)有问题? 其它内容请看附带在内的readme.txt文件。LordPE的原版和增强版的原版我都放在英文原版文件夹中,大家可以进行比较。 声明: 1、此汉化软件是免费软件,请在转载时保留其内容的完整性! 2、此软件仅用于个人学习使用,禁止用于商业用途,否则后果自负! (1) 为LordPE查看输入表部分加上搜索功能 (2) 为LordPE查看输入表部分加右键菜单(仅复制ThunkRVA/FirstThunk列). (3) 当点击LordPE查看输入表部分中"View always FirstThunk",保持光条在原来位置.(LordPE默认会将光条置到0行) (4) 修改FLC(File Location Calulator)窗口中各个文本框(VA,RVA,Offset)为只读属性,此时可以用鼠标复制里面的文本.(LordPE原来是将文本框禁止变灰,此时不可复制) 文件列表: LordPE.EXE .............原版 LordPE_fix.EXE .............增强版 LordPlug.dll .............功能插件 LordPlug.dll_src .............功能插件源码
LordPE.EXE 简装绿色版LordPE 分析PE结构壳教研版
05-26
LordPE.EXE 简装绿色版LordPE 分析PE结构壳教研版
给未加皮肤的EXE文件加皮肤
陈刚编程心得与知识集
05-05 1314
给未加皮肤的EXE文件加皮肤(加壳程序也可以)   用到的工具:LordPE.EXE   首先写一个测试用的EXE   再写一个关于皮肤的动态链接库我们命名为a.dll里面API接口命名为abc   把接口公开而且调用接口程序(名字可以任意密码)   步骤首先   1.打开LordPE.EXE   2.打开PE编辑器(可以把测试exe拖到LordPE.EXE上自动打开会PE编辑器)
LordPE修复从进程dump出来的内存文件
最新发布
2401_88858891的博客
11-12 375
应急响应中从进程发现被注入了EXE文件,通过processhacker的Memory模块dump出来注入的文件。PE修复后在IDA里反汇编查看这个恶意代码的功能是什么。LoadPE载入dump后的程序,查看区段信息,修正前。
使用工具分析PE文件
qq_52185773的博客
02-21 3181
使用工具分析PE文件。
静态添加DLL
随心散人专栏
04-02 902
LordPE 这个工具能够直接静态添加DLL,这下更方便了 具体步骤: 1. 点击PE编辑器,打开要添加的exe 2. 进入目录表,选择输入表一项,点击省略号 3..进入添加DLL界面。选择要添加的DLL。dll必须有一个导出函数添加即可,最后保存
exe加壳:修改可执行文件的PE头,增加一节,修改程序入口地址为该节】
Laughing
11-28 4210
一:PE中增加节 使用工具为:LordPE、010Editor、CFF、OD List item 先用 010Editor 查看节表部分是否足够长度加入新的节表目录 从图中看出,节表后面还有空余地方,可存放新增目录项 用 LordPE 查看PE头部信息,增加一节,在 setions 中修改新增节表的属性 原始PE头信息:可得原始节表中有9项 修改节表项数为10节 然后点击Setions按钮,在里面修改新增节的相关属性(这里的相关原理有兴趣可自行了解) 进去后可看见最后一节表项名字和其他相关数据
《0day安全:软件漏洞分析技术 第二版》第一章 基础知识 —— 学习笔记
qq_37331561的博客
12-16 809
. 二进制文件概述 1.1 PE文件格式 PE文件格式把可执行文件分成若干个数据节(section),分别如下: .text: 由编译器产生,存放着二进制的机器代码,也是反汇编和调试的对象 .data: 初始化的数据块,如宏定义、全局变量、静态变量等 .idata: 可执行文件所使用的动态链接库等外来函数与文件的信息 .rsrc: 存放程序的资源,如图标、菜单等 除上以外,还可能有: .reloc、.edata、.tls、.rdata。 如果可执行文件经过了"加壳"处理,PE的节信息将变得非常
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值