Форум программистов «Весельчак У»
  *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

  • Рекомендуем проверить настройки временной зоны в вашем профиле (страница "Внешний вид форума", пункт "Часовой пояс:").
  • У нас больше нет рассылок. Если вам приходят письма от наших бывших рассылок mail.ru и subscribe.ru, то знайте, что это не мы рассылаем.
   Начало  
Наши сайты
Помощь Поиск Календарь Почта Войти Регистрация  
 
Страниц: [1]   Вниз
  Печать  
Автор Тема: Перехват DriverEntry...  (Прочитано 6141 раз)
0 Пользователей и 1 Гость смотрят эту тему.
sasha_s7
Гость
« : 16-06-2006 16:05 » 

ЗАДАЧА: перехватить DriverEntry при загрузке определенного драйвера...

Есть какой-то хитрый драйвер он при загрузке чего-то делает и выходит. Так вот я хочу перехватить DriverEntry еще до его старта (но уже после его размежения в памяти). Команду софтайса "bpload" не предлагайте. Не ловит айс именно этот драйвер. Как перехватить любую функцию с известным прототипом и адрессом я знаю и умею. Загвоздка в выборе момента перехвата. Как вовремя перехватить?
Записан
IRP
Постоялец

ua
Offline Offline

« Ответ #1 : 18-06-2006 12:44 » 

Берешь IDA смотришь первый байт этого драйвера в DriverEntry, запоминаешь.
Ставить 0xcc (int 3) первым байтом в бинарнике, правишь контрольную сумму бинарника, подсовываешь системе. Когда драйвер загрусится - айс всплывет. Правишь первый байт в DriverEntry и регистр eip. Все
Записан
maaaaaad
Гость
« Ответ #2 : 20-07-2006 16:38 » 

А не проще ли просто дизассемблировать все?
Записан
Ochkarik
Модератор

ru
Offline Offline
Пол: Мужской

« Ответ #3 : 22-07-2006 14:16 » 

вроде были какие то способы, чтобы работающий драйвер/прогу нельзя было отладить софтайсом... может этот случай?
и были так же приблуды которые не дают драйверу или проге увидеть что в системе софтайс. поищите, в форуме была похожая инфа.

эээ... а bpx никак нельзя попробовать применить? если не путаю, есть возможность аппаратной реализации остановки по адресу (софтайс int1/3 использует по умолчанию, вставляет в код). посмотрите - нельзя ли софтайс перелючить на использование отладочных регистров процессора? где то я об этом слышал краем уха... какая то возможность похожая в софтайсе была...
Записан

RTFM уже хоть раз наконец!  RTFM :[ ну или хотя бы STFW...
aks68
Модератор

il
Offline Offline
Пол: Мужской

« Ответ #4 : 14-08-2006 17:00 » 

Как насчет поюзать WinDbg + bu <moduleName>!DriverEntry  ?
Записан
Страниц: [1]   Вверх
  Печать  
 

Powered by SMF 1.1.21 | SMF © 2015, Simple Machines