Windbg/KD配置可以參見(jiàn)xIkUg的文章

1,調(diào)試動(dòng)態(tài)加載的驅(qū)動(dòng),如果有符號(hào),則可以在驅(qū)動(dòng)加載前,在Windbg/KD中執(zhí)行如下命令
??? bu mydriver!DriverEntry,驅(qū)動(dòng)在載入的時(shí)候就會(huì)被斷在DriverEntry函數(shù)入口.
2,如果沒(méi)有符號(hào),1種辦法是,在系統(tǒng)調(diào)用DriverEntry處下斷,因?yàn)椴僮飨到y(tǒng)不同,所以其具體位置也不一樣,
? 不過(guò)目前win2k,xp,2k3 都在nt!IopLoadDriver函數(shù)里,
? 調(diào)用代碼Win2k是:
??? ff502c????????? call??? dword ptr [eax+2Ch]
? XP和2k3里是
?? ff572c?????????? call??? dword ptr [edi+2Ch]
? 這行代碼在nt!IopLoadDriver尾部,可以用Windbg的uf命令或IDA反IopLoadDriver出來(lái)從下往上查找.
? 另外一種辦法就是,直接修改PE在入口處放置Int 3.

不錯(cuò)．．．沒(méi)有符號(hào)的時(shí)候還有一種辦法，我補(bǔ)充一下
也是用bu命令，在drivername后跟上一個(gè)EntryPoint，如：

bu mydriver+0×123

0×123就是驅(qū)動(dòng)的EntryPoint

2

yky says:

May 18th, 2007 at 2:28 pm

回去按部就班了下 在WINDBG中發(fā)現(xiàn)一詞。$iment 可以讓W(xué)INDBG幫我們算EntryPoint ；
bu $iment(Address) Address是模塊地址 可以BU到DriverEntry

轉(zhuǎn)載于:https://www.cnblogs.com/fanzi2009/archive/2009/07/28/1532742.html

總結(jié)

以上是生活随笔為你收集整理的Windbg/KD驱动调试点滴–将平时调试的一些小方法共享给大家 --------- 转的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。