[原创]windbg拦截驱动-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]windbg拦截驱动

发表于: 2012-1-13 21:00 26365

[原创]windbg拦截驱动

guxinyi

2012-1-13 21:00

26365

驱动的加载有几种方式，查看CreateService就可以知道。
1、SERVICE_BOOT_START = 0x00000000，被系统loader加载，这类驱动是最早加载的。驱动文件必须放在C:\Windows\System32\drivers目录下，因为此时系统只能读注册表，不能打开文件，不能打出调试信息。看了下面的分析就清楚了。
2、SERVICE_SYSTEM_START = 0x00000001，系统初始化完成后才加载的
3、SERVICE_DEMAND_START = 0x00000003，手动加载

环境：win7 32bit，
目标：拦截hookport.sys
方法：
通常拦截驱动，可以在nt!MmLoadSystemImage下断点。
1、显示驱动全名并显示驱动基址：
bp nt!MmLoadSystemImage".if(1){!ustr poi(esp+4); dd poi(esp+0x18);}.else{gc;}"
poi(esp+0x18)就是保存驱动基址的指针ImageBaseAddress
2、nt!MmLoadSystemImage返回后，dd ImageBaseAddress，显示的就是驱动基址
3、给驱动起点函数下断点
bp 驱动基址+poi(poi(驱动基址+0x3c)+ 驱动基址+0x28)
4、运行，就停在驱动的起点函数

NTSTATUS
MmLoadSystemImage (
    IN PUNICODE_STRING ImageFileName,
    IN PUNICODE_STRING NamePrefix OPTIONAL,
    IN PUNICODE_STRING LoadedBaseName OPTIONAL,
    IN BOOLEAN LoadInSessionSpace,
    OUT PVOID *ImageHandle,
    OUT PVOID *ImageBaseAddress
    )

但是hookport.sys就不能用上面的方法来，因为它的加载类型是SERVICE_BOOT_START，如下图：

通过研究系统，可以用下面的断点：
下断点bp nt!PnpInitializeBootStartDriver".if(1){!ustr poi(esp+8);}.else{gc;}"，此时可以显示驱动的注册表信息

断下来后，在nt!IopInitializeBuiltinDriver里面找第一个call    dword ptr [eax]，

下断点即可，跟进去就是驱动的入口点了

其实可以计算  INIT:007A79CF                 call    dword ptr [eax]  与nt的rva,直接下断点就可以了  bp nt基址+0x003A79CF

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

#调试逆向

上传的附件：

xuetr333.png （51.40kb，1085次下载）
360.png （27.56kb，1061次下载）
222.png （21.55kb，1068次下载）
3333.png （8.03kb，1060次下载）
444.png （22.22kb，1065次下载）

收藏・50

免费・7

支持

最新回复 (33) 1 2 ▶
longloo 雪币： 4984 活跃值： (3330) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 96 粉丝 1 关注私信	longloo 2 楼用“__asm int 3”的路过 2012-1-13 23:20 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 3 楼 sxe ld 2012-1-13 23:21 0
guxinyi 雪币： 585 活跃值： (568) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 4 楼回楼上，sxe ld hookport 是不能断下来的，我以前也试过的。 2012-1-14 09:23 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 5 楼这种问题，09年已经讨论滴很详细咯。。。 http://www.debugman.com/thread/2943/1/1 http://www.debugman.com/thread/3692/1/1 2012-1-14 11:43 0
guxinyi 雪币： 585 活跃值： (568) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 6 楼 LS的，在win7 32bit 下你自己试下就知道了，确实拦截不下来，360的hookport.sys是SERVICE_BOOT_START， 2012-1-14 13:46 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 7 楼我是指普通的用sxe ld就够了，BOOT0驱动就用IOP*。链接里的两个帖子里面3年前就已经讨论过了。 2012-1-15 01:07 0
yanxizhen 雪币： 70 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 92 粉丝 0 关注私信	yanxizhen 8 楼你应该没有启动bootmanager的调试,是可以断的,千真万确. 2012-1-15 11:20 0
guxinyi 雪币： 585 活跃值： (568) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 9 楼我这里主要是讨论SERVICE_BOOT_START类型驱动的拦截，，楼上的兄弟，能不能说清楚点，，具体怎么设置的 2012-1-15 15:33 0
yanxizhen 雪币： 70 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 92 粉丝 0 关注私信	yanxizhen 10 楼（1）以管理员身份模式运行cmd （2）键入如下bcdedit命令 bcdedit /set {bootmgr} bootdebug on bcdedit /set {bootmgr} debugtype serial bcdedit /set {bootmgr} debugport 1 bcdedit /set {bootmgr} baudrate 115200 设置windbg 连接上后... kd> sxe ld:hookport.sys kd> g nt!DbgLoadImageSymbols+0x47: 83a55fa6 cc int 3 kd> lmvm hookport start end module name 8f263000 8f284e80 hookport (deferred) kd> bp 8f263000+poi(poi(8f263000+3c)+8f263000 +28) kd> g 类似这样,就到了驱动的driverentry了我都是如此调试360的几个驱动的....应该没有意外的 2012-1-15 15:52 0
guxinyi 雪币： 585 活跃值： (568) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 11 楼亲爱的楼上的兄弟，你所写的1，2步就是设置系统为调试模式，我按照你所说的试验了一遍，断不下来，， 2012-1-15 16:20 0
yanxizhen 雪币： 70 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 92 粉丝 0 关注私信	yanxizhen 12 楼我刚刚又连上办公室的机子,用了这个步骤,一切很ok啊 win 7 32位 sp1 旗舰简体中文 + vmware 8.0 + windbg 6.11.0001.404 x86 难道,是我人品好? 上传的附件：未标题-1.jpg （242.73kb，926次下载） 2012-1-15 22:21 0
guxinyi 雪币： 585 活跃值： (568) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 13 楼看来个体差异很大啊，，呵呵，，，上传的附件： 1111.png （355.70kb，1117次下载） 2012-1-15 23:28 0
guxinyi 雪币： 585 活跃值： (568) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 14 楼我这边愣没断下来，看来还是在nt!IopInitializeBuiltinDriver里面找第一个call dword ptr [eax]，这样断可行些。。 2012-1-15 23:44 0
莫灰灰雪币： 2291 活跃值： (2185) 能力值： (RANK：400 ) 在线值：发帖 22 回帖 712 粉丝 47 关注私信	莫灰灰 9 15 楼明白了不，亲。上传的附件： 1.png （0.63kb，705次下载） 2.png （10.87kb，696次下载） 3.png （1.60kb，697次下载） QQ截图20120224234445.png （28.31kb，700次下载） 2012-2-24 23:46 0
zhuwg 雪币： 451 活跃值： (78) 能力值： ( LV12，RANK：470 ) 在线值：发帖 40 回帖 739 粉丝 7 关注私信	zhuwg 11 16 楼小小纠正1下lz的某句话驱动文件必须放在\System32\drivers目录下，因为此时系统只能读注册表，不能打开文件，不能打出调试信息其实可以打印调试信息的，打开文件也可以，不过，由于windbg的 kernel debugger还没有完全启动，无法下断点，要在你看见那个windbg自动定下的int3之后才行另外还有一个 ntldr+windbg的调试哦，这才是真正的boot debuger，这个大米牛应该很有研究的，不过还有更早的16位汇编模式下的，那个就只能qemu+windbg了 2012-2-26 14:21 0
smilediy 雪币： 136 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 114 粉丝 0 关注私信	smilediy 17 楼学习下 2012-2-26 15:13 0
guxinyi 雪币： 585 活跃值： (568) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 18 楼这位同学可以自己去试下，在下面这种情况下，打调试信息和读写文件操作，都是不行的，操作注册表是可以的，我在调试驱动的时候遇到过的。 1、SERVICE_BOOT_START = 0x00000000，被系统loader加载，这类驱动是最早加载的。驱动文件必须放在C:\Windows\System32\drivers目录下，因为此时系统只能读注册表，不能打开文件，不能打出调试信息。 2012-2-26 15:31 0
guxinyi 雪币： 585 活跃值： (568) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 19 楼如果可以的话，说说怎么做的， 2012-2-26 15:32 0
guxinyi 雪币： 585 活跃值： (568) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 20 楼 [QUOTE=莫灰灰;1047616] 明白了不，亲。[/QUOTE] 亲爱的小灰灰，哥哥我这样做了，确实断不吓来啊， 2012-2-27 10:16 0
flyliying 雪币： 111 活跃值： (35) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 75 粉丝 0 关注私信	flyliying 21 楼楼主的好像没有冒号： 2012-2-29 18:34 0
liukeblue 雪币： 379 活跃值： (152) 能力值： ( LV12，RANK：330 ) 在线值：发帖 21 回帖 65 粉丝 4 关注私信	liukeblue 7 22 楼一些还原软件就是boot型驱动，windbg中是可以调试的，只要在ntldr之后。虽然在windbg你看到它已加载，但是该驱动其实还未运行，直接下bp 驱动模块名称+oep，可以断下来 2012-2-29 22:12 0
guxinyi 雪币： 585 活跃值： (568) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 23 楼 [QUOTE=flyliying;1048964] 楼主的好像没有冒号：[/QUOTE] 没有区别，请看图上传的附件： 111.png （737.36kb，9次下载） 2012-2-29 23:20 0
guxinyi 雪币： 585 活跃值： (568) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 24 楼 [QUOTE=guxinyi;1038590]我这边愣没断下来，看来还是在nt!IopInitializeBuiltinDriver里面找第一个call dword ptr [eax]，这样断可行些。。[/QUOTE] 还是自己总结的方法好用，呵呵 2012-2-29 23:23 0
ronging 雪币： 113 活跃值： (100) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 451 粉丝 0 关注私信	ronging 25 楼我碰到个问题，不是所有的模块加载windbg都会得到通知的。以我的XP为例子，MmLoadSystemImage加载了lbrtfdc.SYS，但windbg得不到通知，而且lm中也看不到，请问是什么原因，是不是和驱动的类型有关？ 2012-3-14 17:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

guxinyi

发帖

681

回帖

290

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (33) 1 2 ▶
longloo 雪币： 4984 活跃值： (3330) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 96 粉丝 1 关注私信	longloo 2 楼用“__asm int 3”的路过 2012-1-13 23:20 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 3 楼 sxe ld 2012-1-13 23:21 0
guxinyi 雪币： 585 活跃值： (568) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 4 楼回楼上，sxe ld hookport 是不能断下来的，我以前也试过的。 2012-1-14 09:23 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 5 楼这种问题，09年已经讨论滴很详细咯。。。 http://www.debugman.com/thread/2943/1/1 http://www.debugman.com/thread/3692/1/1 2012-1-14 11:43 0
guxinyi 雪币： 585 活跃值： (568) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 6 楼 LS的，在win7 32bit 下你自己试下就知道了，确实拦截不下来，360的hookport.sys是SERVICE_BOOT_START， 2012-1-14 13:46 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 7 楼我是指普通的用sxe ld就够了，BOOT0驱动就用IOP*。链接里的两个帖子里面3年前就已经讨论过了。 2012-1-15 01:07 0
yanxizhen 雪币： 70 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 92 粉丝 0 关注私信	yanxizhen 8 楼你应该没有启动bootmanager的调试,是可以断的,千真万确. 2012-1-15 11:20 0
guxinyi 雪币： 585 活跃值： (568) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 9 楼我这里主要是讨论SERVICE_BOOT_START类型驱动的拦截，，楼上的兄弟，能不能说清楚点，，具体怎么设置的 2012-1-15 15:33 0
yanxizhen 雪币： 70 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 92 粉丝 0 关注私信	yanxizhen 10 楼（1）以管理员身份模式运行cmd （2）键入如下bcdedit命令 bcdedit /set {bootmgr} bootdebug on bcdedit /set {bootmgr} debugtype serial bcdedit /set {bootmgr} debugport 1 bcdedit /set {bootmgr} baudrate 115200 设置windbg 连接上后... kd> sxe ld:hookport.sys kd> g nt!DbgLoadImageSymbols+0x47: 83a55fa6 cc int 3 kd> lmvm hookport start end module name 8f263000 8f284e80 hookport (deferred) kd> bp 8f263000+poi(poi(8f263000+3c)+8f263000 +28) kd> g 类似这样,就到了驱动的driverentry了我都是如此调试360的几个驱动的....应该没有意外的 2012-1-15 15:52 0
guxinyi 雪币： 585 活跃值： (568) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 11 楼亲爱的楼上的兄弟，你所写的1，2步就是设置系统为调试模式，我按照你所说的试验了一遍，断不下来，， 2012-1-15 16:20 0
yanxizhen 雪币： 70 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 92 粉丝 0 关注私信	yanxizhen 12 楼我刚刚又连上办公室的机子,用了这个步骤,一切很ok啊 win 7 32位 sp1 旗舰简体中文 + vmware 8.0 + windbg 6.11.0001.404 x86 难道,是我人品好? 上传的附件：未标题-1.jpg （242.73kb，926次下载） 2012-1-15 22:21 0
guxinyi 雪币： 585 活跃值： (568) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 13 楼看来个体差异很大啊，，呵呵，，，上传的附件： 1111.png （355.70kb，1117次下载） 2012-1-15 23:28 0
guxinyi 雪币： 585 活跃值： (568) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 14 楼我这边愣没断下来，看来还是在nt!IopInitializeBuiltinDriver里面找第一个call dword ptr [eax]，这样断可行些。。 2012-1-15 23:44 0
莫灰灰雪币： 2291 活跃值： (2185) 能力值： (RANK：400 ) 在线值：发帖 22 回帖 712 粉丝 47 关注私信	莫灰灰 9 15 楼明白了不，亲。上传的附件： 1.png （0.63kb，705次下载） 2.png （10.87kb，696次下载） 3.png （1.60kb，697次下载） QQ截图20120224234445.png （28.31kb，700次下载） 2012-2-24 23:46 0
zhuwg 雪币： 451 活跃值： (78) 能力值： ( LV12，RANK：470 ) 在线值：发帖 40 回帖 739 粉丝 7 关注私信	zhuwg 11 16 楼小小纠正1下lz的某句话驱动文件必须放在\System32\drivers目录下，因为此时系统只能读注册表，不能打开文件，不能打出调试信息其实可以打印调试信息的，打开文件也可以，不过，由于windbg的 kernel debugger还没有完全启动，无法下断点，要在你看见那个windbg自动定下的int3之后才行另外还有一个 ntldr+windbg的调试哦，这才是真正的boot debuger，这个大米牛应该很有研究的，不过还有更早的16位汇编模式下的，那个就只能qemu+windbg了 2012-2-26 14:21 0
smilediy 雪币： 136 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 114 粉丝 0 关注私信	smilediy 17 楼学习下 2012-2-26 15:13 0
guxinyi 雪币： 585 活跃值： (568) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 18 楼这位同学可以自己去试下，在下面这种情况下，打调试信息和读写文件操作，都是不行的，操作注册表是可以的，我在调试驱动的时候遇到过的。 1、SERVICE_BOOT_START = 0x00000000，被系统loader加载，这类驱动是最早加载的。驱动文件必须放在C:\Windows\System32\drivers目录下，因为此时系统只能读注册表，不能打开文件，不能打出调试信息。 2012-2-26 15:31 0
guxinyi 雪币： 585 活跃值： (568) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 19 楼如果可以的话，说说怎么做的， 2012-2-26 15:32 0
guxinyi 雪币： 585 活跃值： (568) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 20 楼 [QUOTE=莫灰灰;1047616] 明白了不，亲。[/QUOTE] 亲爱的小灰灰，哥哥我这样做了，确实断不吓来啊， 2012-2-27 10:16 0
flyliying 雪币： 111 活跃值： (35) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 75 粉丝 0 关注私信	flyliying 21 楼楼主的好像没有冒号： 2012-2-29 18:34 0
liukeblue 雪币： 379 活跃值： (152) 能力值： ( LV12，RANK：330 ) 在线值：发帖 21 回帖 65 粉丝 4 关注私信	liukeblue 7 22 楼一些还原软件就是boot型驱动，windbg中是可以调试的，只要在ntldr之后。虽然在windbg你看到它已加载，但是该驱动其实还未运行，直接下bp 驱动模块名称+oep，可以断下来 2012-2-29 22:12 0
guxinyi 雪币： 585 活跃值： (568) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 23 楼 [QUOTE=flyliying;1048964] 楼主的好像没有冒号：[/QUOTE] 没有区别，请看图上传的附件： 111.png （737.36kb，9次下载） 2012-2-29 23:20 0
guxinyi 雪币： 585 活跃值： (568) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 24 楼 [QUOTE=guxinyi;1038590]我这边愣没断下来，看来还是在nt!IopInitializeBuiltinDriver里面找第一个call dword ptr [eax]，这样断可行些。。[/QUOTE] 还是自己总结的方法好用，呵呵 2012-2-29 23:23 0
ronging 雪币： 113 活跃值： (100) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 451 粉丝 0 关注私信	ronging 25 楼我碰到个问题，不是所有的模块加载windbg都会得到通知的。以我的XP为例子，MmLoadSystemImage加载了lbrtfdc.SYS，但windbg得不到通知，而且lm中也看不到，请问是什么原因，是不是和驱动的类型有关？ 2012-3-14 17:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复