调试驱动会遇到不是自己编译过的无源码驱动,无源码驱动调试首先要给驱动模块设置断点,待驱动被加载时断点断到需要调试的模块。
方法一:利用命令下延时断点
sxe ld dbgDemo.sys下断,当驱动安装加载后断下。
lmvm dbgDemo.sys 查看在当前调试模块内
系统进入当前调试模块即可单步调试等操作。
方法二:入口点下cc断点
找到入口点文件偏移,下cc断点。
注意,修改文件内容后,PE校验和改变,内核模式驱动及DLL中,该值必须是存在且正确的
计算驱动实际校验和并修改
CFF explorer修改为当前校验和910B为实际校验和918F
或通过PE Tools等工具自动修改。
修改完成后即可启动调试,加载驱动后windbg即可单步调试。