本文介绍了如何使用PE文件信息查看工具和IDA来确定无符号驱动的加载基址及DriverEntry偏移,进而通过Windbg设置断点进行动态调试的方法。
源自:http://hi.baidu.com/abinhebaijie/item/b7953e432cc8c6a261d7b9e0
似乎很多人都不知道如何动态调试无符号的驱动。
先用随便哪个PE文件信息查看工具查看驱动加载的基址,一般来说是0x10000,当然你也可以用IDA看。然后用IDA打开驱动,看DriverEntry的偏移,然后用这个偏移减去基址,得到a。用windbg的时候,下断点bu xxxx(模块名)+a。
比方说,TesSafe.sys中基址为0x01001000,DriverEntry偏移为0x01001005,偏移就是5,可以下断点 bu TesSafe+5。就可以动态调试了。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
