我也来无符号定位驱动入口

     老是端着IDA扫射实在不爽，没有真实感，还是不时的debug验证下才好。。。。。

下面是总结的定位驱动入口的方法，方法还是网上的方法，只是不用每次人工找那条邪恶的call dword ptr[edi+2c] 了。。。

 

网上说的调试无符号驱动的方法：在IopLoadDriver+XXX的位置下断点：
xxx随系统不同版本而不同，每次自己拿眼睛找，很累很累，翻了下手册，发现有好命令可用，越来越发现windbg太过强大，只能用时现学了。。。

 

指令格式： # [Pattern] [Address [ L Size ]]
用来搜索汇编指令，windbg提供的这个功能还比较弱，不能直接搜索整条指令，只能这样搜了

在IopLoadDriver入口处开始，大小0x1000的范围内搜索 call [edi+2c]
kd> # "edi?2c" IopLoadDriver L 0x1000
nt!IopLoadDriver+0x684 [e:/wrk/base/ntos/io/iomgr/internal.c @ 4225]:
808ed3e6 ff572c          call    dword ptr [edi+2Ch]
nt!IopCloseFile+0x40 [e:/wrk/base/ntos/io/iomgr/objsup.c @ 156]:
808ef808 f6472c02        test    byte ptr [edi+2Ch],2
nt!IopCloseFile+0x149 [e:/wrk/base/ntos/io/iomgr/objsup.c @ 265]:
808ef911 f6472c02        test    byte ptr [edi+2Ch],2
nt!IopCloseFile+0x1b2 [e:/wrk/base/ntos/io/iomgr/objsup.c @ 313]:

 

还好不多，第一个就是call驱动入口了，接下来就是 bp 808ed3e6; g; s;进入DriverEntry
这是在wrk里哈哈，虽然看见源码的勾引了，但为了日常的没源码环境，我就当啥也没看见。。。