本文介绍了两种在无源码驱动调试中设置断点的方法。方法一是利用命令设置延迟断点,如`sxelddbgDemo.sys`,在驱动加载后暂停,然后进行单步调试。方法二是找到驱动入口点,设置cc断点,并处理PE校验和。使用工具如CFF Explorer或PETools修改校验和后,启动调试即可进行单步调试。
调试驱动会遇到不是自己编译过的无源码驱动,无源码驱动调试首先要给驱动模块设置断点,待驱动被加载时断点断到需要调试的模块。
方法一:利用命令下延时断点
sxe ld dbgDemo.sys下断,当驱动安装加载后断下。
lmvm dbgDemo.sys 查看在当前调试模块内
系统进入当前调试模块即可单步调试等操作。
方法二:入口点下cc断点
找到入口点文件偏移,下cc断点。
注意,修改文件内容后,PE校验和改变,内核模式驱动及DLL中,该值必须是存在且正确的
计算驱动实际校验和并修改
CFF explorer修改为当前校验和910B为实际校验和918F
或通过PE Tools等工具自动修改。
修改完成后即可启动调试,加载驱动后windbg即可单步调试。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
