调试无符号的驱动

最新推荐文章于 2024-10-12 22:38:46 发布
最新推荐文章于 2024-10-12 22:38:46 发布
阅读量874 收藏
点赞数
分类专栏: 驱动开发 文章标签: 工具 c
本文介绍了如何使用PE文件信息查看工具和IDA来确定无符号驱动的加载基址及DriverEntry偏移,进而通过Windbg设置断点进行动态调试的方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

源自:http://hi.baidu.com/abinhebaijie/item/b7953e432cc8c6a261d7b9e0

似乎很多人都不知道如何动态调试无符号的驱动。

 

先用随便哪个PE文件信息查看工具查看驱动加载的基址,一般来说是0x10000,当然你也可以用IDA看。然后用IDA打开驱动,看DriverEntry的偏移,然后用这个偏移减去基址,得到a。用windbg的时候,下断点bu xxxx(模块名)+a。

 

比方说,TesSafe.sys中基址为0x01001000,DriverEntry偏移为0x01001005,偏移就是5,可以下断点 bu TesSafe+5。就可以动态调试了。

WinDbg无符号调试DriverEntry中断
qq_38933606的博客
03-07 812
在内核中,许多函数都需要进行间接调用,出于安全性考虑,避免目标地址被控制,因此不会直接CALL目标地址,而是先通过_guard_dispatch_icall检查地址合法性,并由其进行调用,如果地址合法,它的作用相当于「CALL RAX」。因此,我们在上图红色位置打下断点,等待内核执行到这里,查看RAX的地址。从正常的DriverEntry的调用栈栈中可以看到驱动加载的调用路径基本上如下所示。然后在反汇编窗口中可以发现,这里通过CFG的派遣调用方式执行了RAX指向的函数。上图中可以看到在pe文件后,又通过。
调试无符号驱动的时,快速到达DriverEntry的方法——2
xum2008的专栏
01-23 1926
既上一篇,使用sxe 的指令设置异常来断驱动的主函数的方法后,我们继续学习高端调试下断的方法。 利用断加载驱动的函数的方法,同样能够达到驱动的入口。这个加载驱动的函数就是:IopLoadDriver 具体的每个系统的IopLoadDriver的偏移地址可能不同,但是,我们可以通过windbg进行调试和获取: 使用uf nt!IopLoadDriver指令,然后在反汇编
无符号驱动调试 win10
leibso的博客
03-06 3793
驱动病毒、无符号驱动文件 调试分析 win10 环境
我也来无符号定位驱动入口
jizhongqing的专栏
07-03 1005
<br />     老是端着IDA扫射实在不爽,没有真实感,还是不时的debug验证下才好。。。。。<br />下面是总结的定位驱动入口的方法,方法还是网上的方法,只是不用每次人工找那条邪恶的call dword ptr[edi+2c] 了。。。<br /> <br />网上说的调试无符号驱动的方法:在IopLoadDriver+XXX的位置下断点:<br />xxx随系统不同版本而不同,每次自己拿眼睛找,很累很累,翻了下手册,发现有好命令可用,越来越发现windbg太过强大,只能用时现学了。。。<br
无符号 coredump调试
weixin_30764137的博客
10-31 590
书到用时方恨少 调试一个dnn程序就遇到了这类问题,coredump的调试, $gdb ./bin_file coredump_file 简单使用bt发现其中没有载入任何符号信息,扫兴的是一堆: ??? 这类情形被定性为 无符号调试,有些文章或者大牛给出的方式往往针对 “无符号 or stack 损坏”的调试, 这里首先检查一下shared-lib的载入情况: gdb shell...
VT虚拟化技术,VT驱动调试器,自建调试体系,反反调试技术,内核驱动,VT过保护,VT源代码
04-27
支持pdb符号自动下载,省去寻找特征码步骤,轻松兼容不同系统版本. 5.zip文件是编译好的成品 支持平台 win10 x64 intel architecture cpu. 环境:vs2019 driver sdk 19041,kernelModeDriver10.0 有需要学习的朋友...
大银 上银 E2驱动调试说明v1.4
最新发布
10-20
包括但不限于:伺服驱动器的铭牌内容、型号说明、伺服马达组合、操作电压、回生电阻估算、端子符号与名称、端子脚位定义、电源输入规格、无熔丝断路器选型、一般注意事项、接地、驱动器连接器配置方式、电源端子配线...
使用Windbg双机调试驱动
08-07
"使用Windbg双机调试驱动" Windbg是微软出品的一款双机调试软件,用于调试Windows内核程序。双机调试的主要思想是使用虚拟机和主机来进行调试,虚拟机上安装要调试的操作系统,而主机上安装Windbg。 调试前的准备 ...
STM32 KEIL调试不能打断点,源代码无箭头
07-26
首先需要明确的是,断点无法设置或者源代码中无箭头显示是两个不同的问题,但它们都与Keil的调试环境设置和硬件连接状态相关。以下将分别针对这两个问题提供可能的解决方案。 问题一:断点无法设置 如果在Keil中...
gdb 调试无符号程序 反汇编查看入参
聆听风雨的博客
12-25 1948
调试C/C++程序时,如果所调试的程序时无符号的,此时可以通过反汇编来进行调试
luma.oled:用于驱动SSD1306 SSD1309 SSD1322 SSD1325 SSD1327 SSD1331 SSD1351 SH1106 OLED的Python模块
02-05
luma.oled:用于驱动SSD1306 SSD1309 SSD1322 SSD1325 SSD1327 SSD1331 SSD1351 SH1106 OLED的Python模块
基于STM32F1平台的ADS7952控制代码.rar
06-11
与发表的文章相匹配,用于控制ADS7952芯片的代码。其基于STM32F1平台,采用KEIL 5编写,稍经修改即可兼容ADS79xx系列的所有芯片。
WinDBG调试驱动程序步骤
qycer的专栏
10-10 1624
WinDBG调试驱动程序步骤: 1.首先在虚拟机中加载驱动程序,可以借助inf文件或一些工具软件,然后重启被调试的虚拟机系统。 2.在系统启动过程中,在WinDBG中设置驱动程序的符号表路径和源文件路径。如下形式: .sympath D:\SYMBOLS.NET;SRV *
WinDBG调试驱动时中断DriverEntry的方法
CrazyWolf的专栏
09-06 2523
1.无符号文件的驱动中断DriverEntry方法一: a) 在加载驱动之前,先使用设置异常命令sxe,设置加载驱动文件时中断.命令格式:sxe ld b) 加载驱动中断后,使用lm命令查看驱动模块的基址.命令格式:lm m c) 通过计算PE文件入口点地址,得到DriverEntry的地址. 计算公式如下: DriverEntry = moduleBase + *(DWORD*
WinDbg调试没有符号表的驱动
weixin_34221112的博客
06-29 647
对于没有符号表的驱动程序,先用PE文件找出函数的RVA。 bu XXXX+RVA 转载于:https://www.cnblogs.com/fanzi2009/archive/2010/08/25/1808516.html
ADS7953使用注意事项
动感小麦兜的博客
08-26 4275
昨晚拿到芯片后照着手册的电路以及官方开发板的说明书焊接,VRef使用了两个10k的分压电阻得到2.5v,刚开始调的时候发现无论SDI发送什么值,SDO都回复相同的值,思考了一夜,今天早上测量了一下SDI和SDO引脚,结果短路了,怪不得数据相同,结果成了自发自收。 调整好电路后,发现可以采集通道0的数据,但其他的通道总是切换不过去,偶尔会切换过去,但大部分时间都无法切换,这期间试过了调整SCLK的...
WINDBG 驱动调试命令
menghuan860的博客
10-18 961
windbg符号加载 首先添加符号,打开 windbg工具栏 file->Symbol File Path .... 写入路径如下所示 SRV*E:\\tools\win7-sp1-x86* 然后勾选左下角的Reload ,确定 执行下面执行强制加载符号 kd> .reload /f 查看是否加载了符号 kd> lm 如果在模块后面出现符号的路径就表示成功了,有些没有加载成功,没关系。 无符号调试驱动的两种方法 方法一:用loadPE打开驱动,查看OEP...
基于STM32的ADS1115驱动程序
gitblog_09725的博客
10-12 572
基于STM32的ADS1115驱动程序 【下载地址】基于STM32的ADS1115驱动程序 本资源文件提供了一个基于STM32的ADS1115驱动程序,适用于Keil5开发环境。该驱动程序能够与ILI9341驱动的TFT屏幕配合使用,实现对ADS1115模数转换器的控制和数据读取。无论是学习还是实际项目应用,该驱动程序都...
CYUSB驱动优化:问题修复与无错误安装指南
- **cyusb.pdb**: 这是驱动程序的符号文件(Program Database),通常用于驱动程序调试过程。它包含了程序执行时的调试信息,便于开发人员在开发阶段查找和修复代码中的错误。 - **cyusb.sys**: 这是 CYUSB 驱动的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值