1、如果还没有安装过Windbg,首先要下载安装它。打开百度首页,搜索Windbg,点击高速下载,然后安装。
2、安装成功后,可以点击开始菜单,程序中找到并启动Windbg。
3、启动后主界面。
5、在打开的列表中选择要调试的进程。
6、有的进程可能权限比较高,无法调试。
7、使用管理员身份运行Windbg。
8、再选择进程,附加进程。
一般说来,调速驱动程序分为两种:1.存在PDB文件的调试:
这里的PDB文件其实就是调试符号文件,假如我们调试的这样的文件,我们可以再windbg中使用 :bp 驱动名!DriverEntry,这个时候当加载驱动的时候,程序就会断在入口了。
2.没有PDB文件的调试:
在调试别人的驱动程序时,也就是自己只有bin,并且在这个bin没有PDB文件,以及你没有它的代码。这种情况下,就出现问题了。好在我们可以查看SXE LD 驱动的名字.sys来下断,这个时候,只要加载驱动,马上就能别windbg识别,然后我们可以使用:lmvm 驱动名,查看驱动在内存的相关信息,利用得到的信息下断点。
这个时候下的断点:bp base+poi(poi(base+3c)+base+28),这里poi是取值的意思。
下边我以调试XueTr.sys的驱动作为说明:
先设置好异常事件:
2。运行后,触发了异常:
3.查看XueTr.sys的相关信息,记录下起始地址,利用bp b22b9000+poi(poi(b22b9000+3c)+b22b9000+28)下断,断下后,即是驱动的入口了。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)