Windbg/KD驱动调试点滴–将平时调试的一些小方法共享给大家 --------- 转

Windbg/KD配置可以参见xIkUg的文章

1,调试动态加载的驱动,如果有符号,则可以在驱动加载前,在Windbg/KD中执行如下命令
    bu mydriver!DriverEntry,驱动在载入的时候就会被断在DriverEntry函数入口.
2,如果没有符号,1种办法是,在系统调用DriverEntry处下断,因为操作系统不同,所以其具体位置也不一样,
不过目前win2k,xp,2k3 都在nt!IopLoadDriver函数里,
调用代码Win2k是:
    ff502c          call    dword ptr [eax+2Ch]
XP和2k3里是
   ff572c           call    dword ptr [edi+2Ch]
这行代码在nt!IopLoadDriver尾部,可以用Windbg的uf命令或IDA反IopLoadDriver出来从下往上查找.
另外一种办法就是,直接修改PE在入口处放置Int 3.

不错．．．没有符号的时候还有一种办法，我补充一下
也是用bu命令，在drivername后跟上一个EntryPoint，如：

bu mydriver+0×123

0×123就是驱动的EntryPoint

yky says:

May 18th, 2007 at 2:28 pm

回去按部就班了下在WINDBG中发现一词。$iment 可以让WINDBG帮我们算EntryPoint ；
bu $iment(Address) Address是模块地址可以BU到DriverEntry

发表于 2008-01-18 16:32 大龙1 阅读(367) 评论(1) 编辑收藏引用

# re: Windbg/KD驱动调试点滴–将平时调试的一些小方法共享给大家 --------- 转

为什么我
打开Windbg,选择File> Symbol file path> F:\Program_Files\Microsoft Visual Studio\MyProjects\test\ConsolePro\Debug\test.pdb
时，提示：
WARNING: Non-directory path: 'F:\Program_Files\Microsoft Visual Studio\MyProjects\test\ConsolePro\Debug\test.pdb'
0:000> .reload
Reloading current modules
...
*** ERROR: Symbol file could not be found. Defaulted to export symbols for ntdll.dll -

vfdff 评论于 2008-10-29 00:43 回复更多评论

刷新评论列表

标题

姓名

主页


验证码	*

内容(提交失败后,可以通过“恢复上次提交”恢复刚刚提交的内容)

Remember Me?

登录使用高级评论新用户注册返回页首恢复上次提交

[使用Ctrl+Enter键可以直接提交]

Windbg/KD驱动调试点滴–将平时调试的一些小方法共享给大家 --------- 转

常用链接

留言簿(6)

随笔档案

文章档案

收藏夹

搜索

最新评论

阅读排行榜

评论排行榜

60天内阅读排行