Windbg对过滤驱动DriverEntry函数下断点技巧

http://www.cppblog.com/flytosky2008gao/archive/2009/08/16/93477.aspx

方法1: 
1> 先用DeviceTree.exe查看指定的过滤驱动的Load Address(加载地址) 
2> 再用LordPE.EXE查看指定过滤驱动文件的入口点地址 
3> 计算过滤驱动的DriverEntry函数内存地址 DriverEntry函数内存地址 = Load Address + 入口点地址 
例子: 
1> Load Address = 0xFAABF000 
2> 入口地址 = 0x3400 
3> Windbg下断点 bu 0xFAABF000+0x3400

方法2: 
1> 先用DeviceTree.exe查看指定的过滤驱动的Service Name 
2> 再用LordPE.EXE查看指定过滤驱动文件的入口点地址 
3> 计算过滤驱动的DriverEntry函数内存地址 DriverEntry函数内存地址 = Service Name + 入口地址 
例子: 
1> Service Name是 ntfs 
2> 入口地址 = 0x3400 
3> Windbg下断点 bu ntfs+0x3400

方法3：

在windbg调试时，通过u Module!DriverEntry看到机器指令，然后选一个恰当的地址（或者直接DriverEntry第一条指令的地址也可）比如是f8399695，那么，直接bu f8399695即可。

或者有符号文件，则直接 bu Module!DriverEntry

方法4：

编写源代码时，在DriverEntry开头，加 
#ifdef DBG 
_asm int 3 
#endif

那么，调试时，执行到DriverEntry的int 3,自然会停下来。

DriverEntry

补充：注意，在DriverEntry处下断点，最好是用bu命令，而不是bp命令。

bu命令用来设置一个延迟的、以后再求解的断点，对未加载模块中的代码设置断点。

实现原理：当指定模块被加载时，才真正设置这个断点。

对动态加载模块的入口函数或初始化代码处 加断点特别有用。