首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
[原创]windbg拦截驱动
发表于: 2012-1-13 21:00 26365

[原创]windbg拦截驱动

guxinyi 活跃值
5
2012-1-13 21:00
26365

查看主题内容

收藏
免费 7
支持
分享
最新回复 (33)
ronging
雪    币: 113
活跃值: (100)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
26
另外,
bp 驱动基址+poi(poi(驱动基址+0x3c)+ 驱动基址+0x28)
这句话能不能详细解释一下的?
2012-3-15 13:23
0
guxinyi
雪    币: 585
活跃值: (568)
能力值: ( LV13,RANK:290 )
在线值:
发帖
回帖
粉丝
私信
27
回楼上的,
bp 驱动基址+poi(poi(驱动基址+0x3c)+ 驱动基址+0x28) 就是通过pe文件的格式找到oep,,
详细去看pe文件的格式吧,
2012-3-15 18:07
0
guxinyi
雪    币: 585
活跃值: (568)
能力值: ( LV13,RANK:290 )
在线值:
发帖
回帖
粉丝
私信
28
为什么 windbg得不到通知 ,我也不清楚。
驱动已经在系统中加载了吗?
2012-3-15 18:09
0
ronging
雪    币: 113
活跃值: (100)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
29
使用bp MmLoadSystemImage; 断点可以命中,可以看到这个驱动已经加载了,但windbg没有收到通知,这有几个模块也是这样的,
\SystemRoot\System32\Drivers\lbrtfdc.SYS
\SystemRoot\System32\Drivers\i2omgmt.SYS
\SystemRoot\System32\Drivers\Changer.SYS

不知道为什么会这样的。,明天再详细调试一下。我想是不是一种特殊类型的驱动?
2012-3-15 22:03
0
ronging
雪    币: 113
活跃值: (100)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
30
分析了一下,是调试目录的原因。文章在此:http://user.qzone.qq.com/31731705/blog/1332657531
2012-3-25 14:42
0
小覃
雪    币: 615
活跃值: (172)
能力值: ( LV9,RANK:140 )
在线值:
发帖
回帖
粉丝
私信
31
受教了!谢谢大牛提示!
2012-3-25 16:39
0
gddcxysqw
雪    币: 40
活跃值: (14)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
32
我在xp3用bp IopLoadDriver+66a
2012-3-28 22:18
0
justto
雪    币: 219
活跃值: (38)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
33
菜鸟学习了!~
2012-3-28 22:35
0
cntrump
雪    币: 1708
活跃值: (586)
能力值: ( LV15,RANK:670 )
在线值:
发帖
回帖
粉丝
私信
34
对于 hookport.sys , 我这 sxe ld 也不能下断。
我用的这样的方法, 双机调试的时候会先中断到调试器,然后:

kd> lm
start    end        module name
804d8000 806d0480   nt         (pdb symbols)  
806d1000 806f1300   hal        (deferred)            
f851d000 f852f200   Hookport   (deferred)  

kd> bp f851d000 + poi(poi(f851d000 + 3c) + f851d000 + 28)
*** ERROR: Module load completed but symbols could not be loaded for Hookport.sys

kd> g
Breakpoint 0 hit
Hookport+0xff85:
f852cf85 a1c8c952f8      mov     eax,dword ptr [Hookport+0xf9c8 (f852c9c8)]
2013-2-6 15:28
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//