首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 编程技术
    3. 发新帖
[求助]弱弱的问下逆向驱动
发表于: 2009-12-4 14:21 4038

[求助]弱弱的问下逆向驱动

chinazgj 活跃值
2009-12-4 14:21
4038
把sys拖到IDA中显示如下
INIT:00010C85                 public start
INIT:00010C85 start           proc near
INIT:00010C85                 mov     eax, dword_10BE8
INIT:00010C8A                 test    eax, eax
INIT:00010C8C                 mov     ecx, 0BB40E64Eh
INIT:00010C91                 jz      short loc_10C97
INIT:00010C93                 cmp     eax, ecx
INIT:00010C95                 jnz     short loc_10CB0
INIT:00010C97
INIT:00010C97 loc_10C97:                              ; CODE XREF: start+Cj
INIT:00010C97                 mov     eax, ds:KeTickCount
INIT:00010C9C                 mov     eax, [eax]
INIT:00010C9E                 xor     eax, offset dword_10BE8
INIT:00010CA3                 mov     dword_10BE8, eax
INIT:00010CA8                 jnz     short loc_10CB0
INIT:00010CAA                 mov     dword_10BE8, ecx
INIT:00010CB0
INIT:00010CB0 loc_10CB0:                              ; CODE XREF: start+10j
INIT:00010CB0                                         ; start+23j
INIT:00010CB0                 jmp     sub_108AC
INIT:00010CB0 start           endp

看过很多驱动都是类似这样的形式! 这个driverentry在那里?是其中的跳转语句吗?
为什么我写的驱动拖到IDA中是很明了的显示了driverentry函数中相对应的反汇编!
这样的驱动是怎么写的?还是编译的问题?

[课程]Linux pwn 探索篇!

收藏
免费 0
支持
分享
最新回复 (5)
zerostudy
雪    币: 202
活跃值: (10)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
2
start
这个就是入口函数吧~
2009-12-4 14:40
0
zapline
雪    币: 2362
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
2009-12-4 14:47
0
achillis
雪    币: 7651
活跃值: (523)
能力值: ( LV9,RANK:610 )
在线值:
发帖
回帖
粉丝
私信
4
这是编译的问题,从DDK2003开始编译的驱动前面都会出现这一段代码,最后的jmp sub_108AC就是跳到真正的DriverEntry,也就是说sub_108AC就是DriverEntry~
2009-12-4 15:01
0
chinazgj
雪    币: 186
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
谢 谢 教 主 !
2009-12-4 16:50
0
yanxizhen
雪    币: 70
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
这一段一般是用于gs cookie机制的
2009-12-5 22:32
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//