Windbg/KD驅動調試驗滴–將平時調試的一些小方法共用給大家 ——— 轉

Windbg/KD配置可以參見xIkUg的文章

1,調試動態載入的驅動,如果有符號,則可以在驅動載入前,在Windbg/KD中執行如下命令
    bu mydriver!DriverEntry,驅動在載入的時候就會被斷在DriverEntry函數入口.
2,如果沒有符號,1種辦法是,在系統調用DriverEntry處下斷,因為作業系統不同,所以其具體位置也不一樣,
  不過目前win2k,xp,2k3 都在nt!IopLoadDriver函數裡,
  調用代碼Win2k是:
    ff502c          call    dword ptr [eax+2Ch]
  XP和2k3裡是
   ff572c           call    dword ptr [edi+2Ch]
  這行代碼在nt!IopLoadDriver尾部,可以用Windbg的uf命令或IDA反IopLoadDriver出來從下往上尋找.
  另外一種辦法就是,直接修改PE在入口處放置Int 3.

不錯．．．沒有符號的時候還有一種辦法，我補充一下
也是用bu命令，在drivername後跟上一個EntryPoint，如：

bu mydriver+0×123

0×123就是驅動的EntryPoint

2

yky says:

May 18th, 2007 at 2:28 pm

回去按部就班了下 在WINDBG中發現一詞。$iment 可以讓WINDBG幫我們算EntryPoint ；
bu $iment(Address) Address是模組地址 可以BU到DriverEntry