一般說來,調速驅動程序分爲兩種:
1.存在PDB文件的調試:
這裏的PDB文件其實就是調試符號文件,假如我們調試的這樣的文件,我們可以再windbg中使用 :bp 驅動名!DriverEntry,這個時候當加載驅動的時候,程序就會斷在入口了。
2.沒有PDB文件的調試:
在調試別人的驅動程序時,也就是自己只有bin,並且在這個bin沒有PDB文件,以及你沒有它的代碼。這種情況下,就出現問題了。好在我們可以查看SXE LD 驅動的名字.sys來下斷,這個時候,只要加載驅動,馬上就能別windbg識別,然後我們可以使用:lmvm 驅動名,查看驅動在內存的相關信息,利用得到的信息下斷點。
這個時候下的斷點:bp base+poi(poi(base+3c)+base+28),這裏poi是取值的意思。
下邊我以調試XueTr.sys的驅動作爲說明:
先設置好異常事件:
2。運行後,觸發了異常:
3.查看XueTr.sys的相關信息,記錄下起始地址,利用bp b22b9000+poi(poi(b22b9000+3c)+b22b9000+28)下斷,斷下後,即是驅動的入口了。
