方法1:
1> 先用DeviceTree.exe查看指定的过滤驱动的Load Address(加载地址)
2> 再用LordPE.EXE查看指定过滤驱动文件的入口点地址
3> 计算过滤驱动的DriverEntry函数内存地址 DriverEntry函数内存地址 = Load Address + 入口点地址
例子:
1> Load Address = 0xFAABF000
2> 入口地址 = 0x3400
3> Windbg下断点 bu 0xFAABF000+0x3400
方法2:
1> 先用DeviceTree.exe查看指定的过滤驱动的Service Name
2> 再用LordPE.EXE查看指定过滤驱动文件的入口点地址
3> 计算过滤驱动的DriverEntry函数内存地址 DriverEntry函数内存地址 = Service Name + 入口地址
例子:
1> Service Name是 ntfs
2> 入口地址 = 0x3400
3> Windbg下断点 bu ntfs+0x3400
方法3:
windbg调试时,通过u Module!DriverEntry看到机器指令,然后选一个恰当的地址(或者直接DriverEntry第一条指令的地址也可)比如是f8399695,那么,直接bu f8399695即可。
或者有符号文件,则直接 bu Module!DriverEntry
方法4:
编写源代码时,在DriverEntry开头,加
#ifdef DBG
__asm int3;
#endif
那么,调试时,执行到DriverEntry的__int 3,自然会停下来。
补充:注意,在DriverEntry处下断点,最好是用bu命令,而不是bp命令。
bu命令用来设置一个延迟的、以后再求解的断点,对未加载模块中的代码设置断点。
实现原理:当指定模块被加载时,才真正设置这个断点。
对动态加载模块的入口函数或初始化代码处 加断点特别有用。
另外也可以用:sxe ld [moduleName]进行下段;
例子:
sxe ld test.sys
这样当系统启动test.sys驱动的时候就会断下。
或者用bpload [moduleName]进行下段
例子:
bpload test.sys