調試無符號驅動的時,快速到達DriverEntry的方法——2
既上一篇,使用sxe 的指令設置異常來斷驅動的主函數的方法後,我們繼續學習高端調試下斷的方法。
利用斷加載驅動的函數的方法,同樣能夠達到驅動的入口。這個加載驅動的函數就是:IopLoadDriver
具體的每個系統的IopLoadDriver的偏移地址可能不同,但是,我們可以通過windbg進行調試和獲取:
使用uf nt!IopLoadDriver指令,然後在反彙編的代碼框中進行查找:
找到:nt!IopLoadDriver+0x663 就是我們要下斷的地址了。
使用 bp nt!IopLoadDriver+0x663 下斷點:
然後,當你加載驅動的時候,windbg就會斷下了,然後,你使用從函數返回的選項,返回到函數IopLoadDriver的調用點:
這個就是call裏邊就是驅動的入口了:
8057777c ff572c call dword ptr [edi+2Ch]
單步加入這個call:
