首页
社区
课程
招聘
[讨论]驱动文件放到IDA里,都有哪些方法定位到IRP处理函数?
发表于: 2011-1-21 10:41 4969

[讨论]驱动文件放到IDA里,都有哪些方法定位到IRP处理函数?

2011-1-21 10:41
4969
如题!
我只知道一种:找Imports里的IofCompleteRequest函数,在其上面很可能找到处理IRP的代码!
还有其它的方法或者技巧吗?欢迎分享!

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (3)
雪    币: 3686
活跃值: (1036)
能力值: (RANK:760 )
在线值:
发帖
回帖
粉丝
2
直接看DriverEntry里对MajorFunction的赋值也可以,特征比较明显
2011-1-21 10:59
0
雪    币: 275
活跃值: (55)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
嗯!简单的驱动一般都可以从IofCompleteRequest的上面快速找到调用处理IRP函数入口,但是有些复杂的驱动,莫不如直接看DriverEntry!刚才我随便看了一个.sys文件,很好找!O(∩_∩)O哈哈~
2011-1-21 12:04
0
雪    币: 29
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
学习咯
6个字
2011-1-22 06:29
0
游客
登录 | 注册 方可回帖
返回
//