Windbg/KD配置可以參見(jiàn)xIkUg的文章

1,調(diào)試動(dòng)態(tài)加載的驅(qū)動(dòng),如果有符號(hào),則可以在驅(qū)動(dòng)加載前,在Windbg/KD中執(zhí)行如下命令
    bu mydriver!DriverEntry,驅(qū)動(dòng)在載入的時(shí)候就會(huì)被斷在DriverEntry函數(shù)入口.
2,如果沒(méi)有符號(hào),1種辦法是,在系統(tǒng)調(diào)用DriverEntry處下斷,因?yàn)椴僮飨到y(tǒng)不同,所以其具體位置也不一樣,
  不過(guò)目前win2k,xp,2k3 都在nt!IopLoadDriver函數(shù)里,
  調(diào)用代碼Win2k是:
    ff502c          call    dword ptr [eax+2Ch]
  XP和2k3里是
   ff572c           call    dword ptr [edi+2Ch]
  這行代碼在nt!IopLoadDriver尾部,可以用Windbg的uf命令或IDA反IopLoadDriver出來(lái)從下往上查找.
  另外一種辦法就是,直接修改PE在入口處放置Int 3.




不錯(cuò)...沒(méi)有符號(hào)的時(shí)候還有一種辦法,我補(bǔ)充一下
也是用bu命令,在drivername后跟上一個(gè)EntryPoint,如:

bu mydriver+0×123

0×123就是驅(qū)動(dòng)的EntryPoint

2
yky says:
May 18th, 2007 at 2:28 pm

回去按部就班了下 在WINDBG中發(fā)現(xiàn)一詞。$iment 可以讓W(xué)INDBG幫我們算EntryPoint ;
bu $iment(Address) Address是模塊地址 可以BU到DriverEntry