能力值:
( LV9,RANK:280 )
|
-
-
2 楼
请不要在问题中夹带系统版本强相关的私货 (看描述似乎是call DriverEntry的位置,然而这个0x663每个系统都不一样)
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
IopLoadDriver 两Push + 1 Call
|
能力值:
( LV3,RANK:30 )
|
-
-
4 楼
xssysing
IopLoadDriver 两Push + 1 Call
这个具体要怎么下断点?
|
能力值:
( LV3,RANK:30 )
|
-
-
5 楼
hzqst
请不要在问题中夹带系统版本强相关的私货
(看描述似乎是call DriverEntry的位置,然而这个0x663每个系统都不一样)
我知道不一样,那具体应该怎么下断?
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
ONDragon
这个具体要怎么下断点?
自己windbg调试着跟几下就到了,然后下断点呀。
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
用ida看看驱动程序的DriverEntry入口偏移量,然后用devicetree看看驱动程序的基址,然后对绝对地址下断点就可以了。不过DriverEntry在被系统调用以后,你再下断电,那么就不会再执行到DriverEntry这个断点了,因为只在初始化的时候执行一次DriverEntry。那么你可以用devicetree看看基址,关机以后重启,一般情况基址不变的,在这种情况下对绝对地址下断点。 如果关机以后,基址变动了,那么可以用另一个方法。可以把驱动程序的启动顺序在注册表里面改为start=0,那么windbg在系统刚开始还没启动的时候就断下来了,这时可以在windbg里面看看module,看看载入了你要调试的驱动程序,也显示了基址,你对该处基址+偏移量下断点就可以了。
|
能力值:
( LV3,RANK:30 )
|
-
-
8 楼
aait
用ida看看驱动程序的DriverEntry入口偏移量,然后用devicetree看看驱动程序的基址,然后对绝对地址下断点就可以了。不过DriverEntry在被系统调用以后,你再下断电,那么就不会再 ...
老哥,那个devicetree没找到,能方便发一份吗?
|
能力值:
( LV2,RANK:10 )
|
-
-
9 楼
|
能力值:
( LV3,RANK:30 )
|
-
-
10 楼
aait
devicetree v2.3
多谢大哥啦!!!
|
|
|