-
-
[求助]请教大牛如何在没有符号表的情况下动态调试驱动
-
发表于: 2011-11-6 22:04
-
想分析个别人的驱动,没有符号表,用IDA看了一下,很多地方都不知道是值的具体含义,而后想用windbg+vmware调试下,在入口点断下来以后是这样的:
Swk0217+0x8de:
f8da28de 55 push ebp
kd> u f8da28de
Swk0217+0x8de:
f8da28de 55 push ebp
f8da28df 8bec mov ebp,esp
f8da28e1 83ec14 sub esp,14h
f8da28e4 8365fc00 and dword ptr [ebp-4],0
f8da28e8 56 push esi
f8da28e9 57 push edi
f8da28ea 8b3d242adaf8 mov edi,dword ptr [Swk0217+0xa24 (f8da2a24)]
f8da28f0 689628daf8 push offset Swk0217+0x896 (f8da2896)
单步调试的时候到这一句:
f8da28e4 8365fc00 and dword ptr [ebp-4],0
发现IDA中对应的注释的是:
text:000108E4 and [ebp+DeviceObject], 0
我的问题是怎么得知ebp-4的位置处存得是DeviceObject?在网上查了很多逆向驱动的文章,大牛们貌似都是直接逆别人的驱动之后放一个idb上来,我狠菜菜,苦于无人指点,希望大牛们指点下,类似于这样的数据结构都是在双机调试的时候获取到的吗 是怎么做的呢。。。
Swk0217+0x8de:
f8da28de 55 push ebp
kd> u f8da28de
Swk0217+0x8de:
f8da28de 55 push ebp
f8da28df 8bec mov ebp,esp
f8da28e1 83ec14 sub esp,14h
f8da28e4 8365fc00 and dword ptr [ebp-4],0
f8da28e8 56 push esi
f8da28e9 57 push edi
f8da28ea 8b3d242adaf8 mov edi,dword ptr [Swk0217+0xa24 (f8da2a24)]
f8da28f0 689628daf8 push offset Swk0217+0x896 (f8da2896)
单步调试的时候到这一句:
f8da28e4 8365fc00 and dword ptr [ebp-4],0
发现IDA中对应的注释的是:
text:000108E4 and [ebp+DeviceObject], 0
我的问题是怎么得知ebp-4的位置处存得是DeviceObject?在网上查了很多逆向驱动的文章,大牛们貌似都是直接逆别人的驱动之后放一个idb上来,我狠菜菜,苦于无人指点,希望大牛们指点下,类似于这样的数据结构都是在双机调试的时候获取到的吗 是怎么做的呢。。。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
|
|
|
|
|
|
|
