摘要:
windbg源码驱动调试 Windbg源代码驱动的调试环境信息虚拟机:win732位windg:6.12设置将windg连接到虚拟机的进程:链接以配置windg。配置双机调试后,单击windg菜单栏中的debug-˃Break以生成中断。在将控制权交给windag以生成中断后,单击File-˃OpenSourseFile打开源代码文件,将显示代码窗口。因为有驱动器源代码,您可以在驱动器入口的断点处直接调试,格式为“bu driver name!DriverEntry”。此处要调试的驱动程序名为Clear,因此输入调试命令“buClear!
环境信息
虚拟机:win7 32位
windbg:6.12(版本不存在太大影响)
设置过程
- 配置windbg
配置好双机调试后,点击windbg菜单栏的debug->Break产生中断,控制权交给windbg
中断产生后,点击File->Open Sourse File(Ctrl+O)打开源码文件,就会显示出代码窗口
因为有驱动源码,可以直接在驱动入口处下断点进行调试,格式为"bu 驱动名!DriverEntry",这里调试的驱动名为Clear,所以输入调试命令"bu Clear!DriverEntry",最后输入"g"把运行权交回给虚拟机
- 虚拟机加载驱动,windbg触发中断即可进行源码调试
使用驱动加载工具加载驱动,正常情况下会触发中断并把控制权交给windbg
如果看到下面这些信息,说明成功中断在驱动的入口点处,可以开始源码调试
- 定位驱动入口点
使用CFF Explorer打开驱动文件,查看Option Header里AddressOfEntryPoint的值
通过驱动名+入口点偏移的方式可以定位到驱动的入口点,这里驱动名为cscc,所以应该下断点的位置为cscc+0x2920
- 入口点处下断点
使用驱动加载工具在虚拟机中加载驱动,加载完后点击windbg菜单栏的debug->Break产生中断,把控制权交给windbg,然后在调试窗口输入命令bp cscc+0x2920,这里可以使用lmvm+驱动名(列出驱动信息)和bl(列出断点信息)来查看断点是否正确设置
