[求助]求助对DeviceIoContorl调试能到驱动层吗?-二进制漏洞-看雪-安全社区|安全招聘|kanxue.com

最新回复 (1)
lankerr 雪币： 246 活跃值： (91) 能力值： ( LV3，RANK：30 ) 在线值：发帖 35 回帖 156 粉丝 1 关注私信	lankerr 2 楼中午用ICE对自已用汇编写的简单的sys调了下，经过一大堆系统调用终于到自己的驱动代码中了如下：让自已的驱动加载后，外壳程序调用DeviveIoControl后得到返回的相应驱动代码地址，然后在ICE中下断点，看哪个系统Call调用这段代码，结果系统调用如下： kernel32中 7c80166b: call [7c801038] 7c92d8ed: call [edx] ........ 进入系统 8053d806: call ebx //进入NtDeviceIoControlFile 8056e337: call 805753ea //进入NtWriterFile 805759cc: call 80574ae2 80574b3d: call IoCallDriver 804eedf5: call [eax*4+esi+38] 进入最后一个Call就到自已代码了，然后... 该睡会了，下会还有经济活动分析会，晚上应该可以调那个在驱动中注的软件了吧 2009-2-3 13:38 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (1)

lankerr

雪币： 246

活跃值： (91)

能力值：

( LV3，RANK：30 )

在线值：

发帖

回帖

156

粉丝

关注

私信

lankerr: 2 楼

中午用ICE对自已用汇编写的简单的sys调了下，经过一大堆系统调用终于到自己的驱动代码中了

如下：
   让自已的驱动加载后，外壳程序调用DeviveIoControl后得到返回的相应驱动代码地址，然后在ICE中下断点，看哪个系统Call调用这段代码，结果系统调用如下：
kernel32中
7c80166b:  call [7c801038]
   7c92d8ed:  call [edx]
   ........
   进入系统
8053d806: call ebx  //进入NtDeviceIoControlFile
   8056e337: call 805753ea  //进入NtWriterFile
   805759cc:  call 80574ae2
   80574b3d: call IoCallDriver
   804eedf5:  call [eax*4+esi+38]
   进入最后一个Call就到自已代码了，然后...
   该睡会了，下会还有经济活动分析会，晚上应该可以调那个在驱动中注的软件了吧

2009-2-3 13:38

[求助]求助 对DeviceIoContorl调试能到驱动层吗?

[求助]求助对DeviceIoContorl调试能到驱动层吗?