Windbg/KD配置可以參見xIkUg的文章

1,調試動態加載的驅動,如果有符號,則可以在驅動加載前,在Windbg/KD中執行如下命令
    bu mydriver!DriverEntry,驅動在載入的時候就會被斷在DriverEntry函數入口.
2,如果沒有符號,1種辦法是,在系統調用DriverEntry處下斷,因為操作系統不同,所以其具體位置也不一樣,
  不過目前win2k,xp,2k3 都在nt!IopLoadDriver函數里,
  調用代碼Win2k是:
    ff502c          call    dword ptr [eax+2Ch]
  XP和2k3里是
   ff572c           call    dword ptr [edi+2Ch]
  這行代碼在nt!IopLoadDriver尾部,可以用Windbg的uf命令或IDA反IopLoadDriver出來從下往上查找.
  另外一種辦法就是,直接修改PE在入口處放置Int 3.




不錯...沒有符號的時候還有一種辦法,我補充一下
也是用bu命令,在drivername后跟上一個EntryPoint,如:

bu mydriver+0×123

0×123就是驅動的EntryPoint

2
yky says:
May 18th, 2007 at 2:28 pm

回去按部就班了下 在WINDBG中發現一詞。$iment 可以讓WINDBG幫我們算EntryPoint ;
bu $iment(Address) Address是模塊地址 可以BU到DriverEntry