摘要:
WinDBG提供了多种设断点的命令:bp命令是在某个地址下断点, 可以 bp 0x7783FEB 也可以bp MyApp!SomeFunction。 对于后者,WinDBG 会自动找到MyApp!SomeFunction对应的地址并设置断点。 但是使用bp的问题在于:1)当代码修改之后,函数地址改变... 阅读全文
摘要:
bu可以针对符号下断点.这里是用bu下延迟断点的意义在于即使目标驱动没有被加载,windbg也允许我们针对符号设置断点.当新加载驱动程序后,windbg就会检查驱动程序中是否包含了设置了延迟断点的函数.如果找到了,就把断点替换为地址形式,然后再设置断点kd> bu Sys!DriverEntry 阅读全文
摘要:
SSDTHOOK的原理其实非常简单,我们先实际看看KeServiceDescriptorTable是什么样的。lkd>ddKeServiceDescriptorTable8055ab80804e3d20000000000000011c804d9f488055ab900000000000000000... 阅读全文