2)下断IopLoadDriver
这里的EDI其实就是DriverObject。DriverObject+2c就是DriverInit。在这里单步进去就是DriverEntry了。
ps:这种方法下断IopLoadDriver对应的偏移,在不同的操作系统下,会有所不同。不过对应的代码基本上是如下形式:
push reg
call reg+xx
3)sxe ld:module name
sxe ld:hookport.sys
当hookport模块被加载的时候,就触发了一个异常:
得到模块的基地址base:
下断驱动模块执行入口点
bp base+poi(poi(base+3c)+base+28)
ps:此方法可以下断boot型的驱动。
分类:
Windows内核研究
本文转自einyboy博客园博客,原文链接:http://www.cnblogs.com/einyboy/archive/2012/07/11/2586276.html
VS2010调试X64项目工程时,报错提示VS调试监视器(MSVSMON.EXE)未能启动,解决方案。
VS2010调试X64项目工程时,报错提示VS调试监视器(MSVSMON.EXE)未能启动,解决方案。
Windbg内核调试之三: 调试驱动
这次我们通过一个实际调试驱动的例子,来逐步体会Windbg在内核调试中的作用.由于条件所限,大多数情况下,很多人都是用VMware+Windbg调试内核(VMware的确是个好东西).但这样的调试需要占用大量的系统资源,对于和我一样急性子的朋友来说这是不可接受的:).
