找回密码
 立即注册→加入我们

QQ登录

只需一步,快速开始

搜索
热搜: 下载 VB C 实现 编写
查看: 2522|回复: 0

如何用windbg断在驱动入口和派遣函数

[复制链接]
发表于 2015-8-16 23:52:23 | 显示全部楼层 |阅读模式

欢迎访问技术宅的结界,请注册或者登录吧。

您需要 登录 才可以下载或查看,没有账号?立即注册→加入我们

×
很多时候,通过修改驱动文件(函数头设字节0xCC)有可能通不过校验,而且还有繁琐的拷贝过程

断入口自然在加载的时候断:
bp nt!MmLoadSystemImage "du poi(poi(esp+4)+4);r@$t1=poi(esp+0x18);gu;bp poi(@$t1)+poi(poi(@$t1)+poi(poi(@$t1)+0x3c)+0x28)"
断派遣函数:
通过pchunter找到DriverObject地址
dt -b _DRIVER_OBJECT 0x821bb320;dds 0x821bb320+0x38
选择DriverInit、DriverStartIo、DriverUnload和MajorFunction[0-27]下断

kd> dt _DRIVER_OBJECT 0x821bb320
ntdll!_DRIVER_OBJECT
   +0x000 Type             : 0n4
   +0x002 Size             : 0n168
   +0x004 DeviceObject     : 0x821e4d40 _DEVICE_OBJECT
   +0x008 Flags            : 0x12
   +0x00c DriverStart      : 0xf853d000 Void
   +0x010 DriverSize       : 0x1ca00
   +0x014 DriverSection    : 0x821fc048 Void
   +0x018 DriverExtension  : 0x821bb3c8 _DRIVER_EXTENSION
   +0x01c DriverName       : _UNICODE_STRING "\Driver\TsFltMgr"
   +0x024 HardwareDatabase : 0x80671ae0 _UNICODE_STRING "\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\SYSTEM"
   +0x028 FastIoDispatch   : (null)
   +0x02c DriverInit       : 0xf85572a0     long  +0
   +0x030 DriverStartIo    : (null)
   +0x034 DriverUnload     : (null)
   +0x038 MajorFunction    : [28] 0xf8557240     long  +0
kd> dt -b _DRIVER_OBJECT 0x821bb320
ntdll!_DRIVER_OBJECT
   +0x000 Type             : 0n4
   +0x002 Size             : 0n168
   +0x004 DeviceObject     : 0x821e4d40
   +0x008 Flags            : 0x12
   +0x00c DriverStart      : 0xf853d000
   +0x010 DriverSize       : 0x1ca00
   +0x014 DriverSection    : 0x821fc048
   +0x018 DriverExtension  : 0x821bb3c8
   +0x01c DriverName       : _UNICODE_STRING "\Driver\TsFltMgr"
      +0x000 Length           : 0x20
      +0x002 MaximumLength    : 0x20
      +0x004 Buffer           : 0xe13f0358  "\Driver\TsFltMgr"
   +0x024 HardwareDatabase : 0x80671ae0
   +0x028 FastIoDispatch   : (null)
   +0x02c DriverInit       : 0xf85572a0
   +0x030 DriverStartIo    : (null)
   +0x034 DriverUnload     : (null)
   +0x038 MajorFunction    :
    [00] 0xf8557240
    [01] 0x804f454a
    [02] 0xf8557240
    [03] 0x804f454a
    [04] 0x804f454a
    [05] 0x804f454a
    [06] 0x804f454a
    [07] 0x804f454a
    [08] 0x804f454a
    [09] 0x804f454a
    [10] 0x804f454a
    [11] 0x804f454a
    [12] 0x804f454a
    [13] 0x804f454a
    [14] 0xf8557260
    [15] 0x804f454a
    [16] 0xf853d530
    [17] 0x804f454a
    [18] 0x804f454a
    [19] 0x804f454a
    [20] 0x804f454a
    [21] 0x804f454a
    [22] 0x804f454a
    [23] 0x804f454a
    [24] 0x804f454a
    [25] 0x804f454a
    [26] 0x804f454a
    [27] 0x804f454a
kd> dds 0x821bb320+0x38
821bb358  f8557240 TsFltMgr+0x1a240
821bb35c  804f454a nt!IopInvalidDeviceRequest
821bb360  f8557240 TsFltMgr+0x1a240
821bb364  804f454a nt!IopInvalidDeviceRequest
821bb368  804f454a nt!IopInvalidDeviceRequest
821bb36c  804f454a nt!IopInvalidDeviceRequest
821bb370  804f454a nt!IopInvalidDeviceRequest
821bb374  804f454a nt!IopInvalidDeviceRequest
821bb378  804f454a nt!IopInvalidDeviceRequest
821bb37c  804f454a nt!IopInvalidDeviceRequest
821bb380  804f454a nt!IopInvalidDeviceRequest
821bb384  804f454a nt!IopInvalidDeviceRequest
821bb388  804f454a nt!IopInvalidDeviceRequest
821bb38c  804f454a nt!IopInvalidDeviceRequest
821bb390  f8557260 TsFltMgr+0x1a260
821bb394  804f454a nt!IopInvalidDeviceRequest
821bb398  f853d530 TsFltMgr+0x530
821bb39c  804f454a nt!IopInvalidDeviceRequest
821bb3a0  804f454a nt!IopInvalidDeviceRequest
821bb3a4  804f454a nt!IopInvalidDeviceRequest
821bb3a8  804f454a nt!IopInvalidDeviceRequest
821bb3ac  804f454a nt!IopInvalidDeviceRequest
821bb3b0  804f454a nt!IopInvalidDeviceRequest
821bb3b4  804f454a nt!IopInvalidDeviceRequest
821bb3b8  804f454a nt!IopInvalidDeviceRequest
821bb3bc  804f454a nt!IopInvalidDeviceRequest
821bb3c0  804f454a nt!IopInvalidDeviceRequest
821bb3c4  804f454a nt!IopInvalidDeviceRequest
821bb3c8  821bb320
821bb3cc  00000000
821bb3d0  00000001
821bb3d4  00120010
回复

使用道具 举报

本版积分规则

QQ|Archiver|小黑屋|技术宅的结界 ( 滇ICP备16008837号 )|网站地图

GMT+8, 2024-11-22 13:27 , Processed in 0.030711 second(s), 21 queries , Gzip On.

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表