-
-
[旧帖]
[求助]对驱动的反汇编,为什么是这样的?
0.00雪花
-
发表于:
2009-6-18 11:07
3915
-
[旧帖] [求助]对驱动的反汇编,为什么是这样的?
0.00雪花
读了楚狂人的《天书夜读》开始接触反汇编。以前看不懂的汇编,现在有些明白了。
我的问题。
驱动的SYS文件的入口函数是DriverEntry,可是,为什么,有好几次我反汇编出来的入口点
都不是DriverEntry函数呢?比如System32/dirvers/sFloppy.sys,反汇编后,就是这么一个入口public __stdcall GsDriverEntry(x, x)
__stdcall GsDriverEntry(x, x) proc near。再往下看,也会看到DriverEntry(x,x)的调用。可是感觉还是不太对劲。
再比如。相同目录下的DISK.SYS。反汇编出来,也是这样。
//////////////////////////////////////////////////////////////////////////////////////////////
提示一下,昨天反汇编出来的入口函数是一个START(X,X).后来,也忘记了,是在哪点了IDA里的一下,就能反汇编到这个地步了,原来,结果一直都是START函数。家里电脑上,汇编结果就是START.
有几个驱动,还是正常反汇编了,比如DDK里的SFILTER,FILESPY.
/////////////////////////////////////
我想,问题可能是出在SYMBOLS文件上,记得好像是昨天弹出窗口,说是有个关于什么SYMBOLS的。当时太急,随便点了一下。就进化到可以看到GSDIRVERENTRY函数了。sfilter可以看到正常的dirverEntry函数了。以前的时候,sfilter,可是看到的start为入口的。
求教了!
[课程]Android-CTF解题方法汇总!
