Как отлаживать DriverEntry

[Treww]

Доброго утра всем.

Откомпилил драйвер и запускаю его по требованию, ставлю точку прерывания на DriverEntry, однако отладчик не вываливается на ней.
Народ, подскажите как можно отладить DriverEntry в SoftIce?

[dimedrol]

Откомпилил драйвер и запускаю его по требованию, ставлю точку прерывания на DriverEntry, однако отладчик не вываливается на ней.

А что ты хотел, ведь система при загрузке драйвера немедленно исполняет DriverEntry и все.. больше туда не возвращается, те загрузка неотделима от исполнения Driver Entry! Можно былоб поставить
Hardware breakpoint, но угадать куда система погрузит твой драйвер не лучший вариант.
Если хочешь отладить, пропиши в исходном коде самого дравера _asm int 3; и перед его загрузкой скажи айсу i3here on.
ЗЫ
Так что отладка IOCTLов это совсем другое дело...

[dimedrol]

PPS
 драйвер с _asm int 3; надо запускать только при уже запущенном айсе или засунуть бряк внутрь SEH, иначе ничего хорошего не жди..

[Treww]

А что ты хотел, ведь система при загрузке драйвера немедленно исполняет DriverEntry и все.. больше туда не возвращается, те загрузка неотделима от исполнения Driver Entry! Можно былоб поставить
Hardware breakpoint, но угадать куда система погрузит твой драйвер не лучший вариант.
Если хочешь отладить, пропиши в исходном коде самого дравера _asm int 3; и перед его загрузкой скажи айсу i3here on.

Даже если драйвер стартует по требованию (типа Manual), то система все равно выполняет его инициализацию и вызывает DriverEntry?
Вообще ничего не понимаю, а почему его тогда можно удалить потом? Винда загружает драйвер и забывает про файл?! Круто.  :?
Вроде драйвер должен подгрузиться только, когда он будет нужен.

ЗЫ.
Я в шоке...
Это наверно глупо, но скажи чего не правильно написал?

NTSTATUS
DriverEntry(PDRIVER_OBJECT DriverObj, PUNICODE_STRING RegistryPath)
{
   
    _asm int 3;       // ругается: syntax error : missing ';' before type

    NTSTATUS code;
    PNOTHING_DEVICE_EXT devExt;
    PDEVICE_OBJECT devObj;

............

[dimedrol]

Даже если драйвер стартует по требованию (типа Manual), то система все равно выполняет его инициализацию и вызывает DriverEntry?

Ага.

Вообще ничего не понимаю, а почему его тогда можно удалить потом?

А почему нельзя? Система знает достаточно о драйвере чтоб его потом выгрузить. Она не сможет этого сделать лишь в том случае, если DriverObject->DriverUnload не присваивалось указателся
на обработчик выгрузки драйвера,тк предполагается, что в таком случае выгрузка не поддерживается, как например с ntice.sys.

Винда загружает драйвер и забывает про файл?! Круто. 

Ну да.. Дефицитная nonpaged системная память занимается а он ничего не делает. Поэтому драйвер при ввыходе из IOCLTHandler часто вызывает MmPageEntireDriver,что переводит его в пейджабельный режим
и система может скинуть его в своп. А при входе - MmResetDriverPaging что опять возвращает его в системную память. Правда этот подход не приемлим например если есть обработчики прерываний итд, но в
этих случаях можно сделать некоторые секции драйвера пейджабельными и лочить/анлочить их по необходимости MmLockpageableCodeSection/MmLockPageableDataSection/MmUnlockPageableImageSection. Весь сыр бор тут из-за того, что некоторые участки кода драйвера могут работать при IRQL >= DISPATCH_LEVEL, и не могут прерываться на подкачку неприсутствующих страниц, если такое случиться то BSOD: вроде PAGE_FAULT_IN_NONPAGED_AREA.

Впрочем, что в системной памяти, что в свопе место он занимает.

Вроде драйвер должен подгрузиться только, когда он будет нужен.

ИМХО ты путаешь условные события ON_LOAD и ON_CREATE. ON_LOAD - ето по "net start xxxx" при етом драйвер грузится в память до конца сессии или до "net stop xxxx".
ON_CREATE (IRP_MJ_CREATE) - это например когда юзер делает CreateFile("\\\\.\\xxxx"...), по CloseHandle драйвер всего-лишь обрабатывает(если хочет) IRP_MJ_CLOSE и все.. ничего не выгружается.

Я в шоке...
Это наверно глупо, но скажи чего не правильно написал?

Все верно.. Тут компилером явно путается машинная инструкция int c типом int. Уменя на VC++6.0 все рулит.
Попробуй еще _asm{int 3}; или _asm{Int 3}; или DbgBreakPoint();

[Treww]

Все получилось, спасибо.
Первый эксепшн, первый синий экранчик, которого я не испугался стал необработанное исключение.
Аис забыл запустить.

Все хорошо, но онимаю что за фигная такая, с си вроде знаком.

ни _asm int 3;
ни _asm{InT 3};

не работает. Пишет косяк и все. Ни разу такого не видел.
Причем ругается именно на _asm
Сработала только DbgBreakPoint();

Как тогда куски на асме вставлять? Попа.

[dimedrol]

Блин, даже не знаю чего сказать.
На память приходит только один случай похожих убийственных глюков, когда траблы с объявлением простого инициализированног массива рещались заменой
расширения с *.c на *.cpp. Я вроде пробовал - у меня и в *.c катит..

Причем ругается именно на _asm

Это точно? А то может какой _asm nop; все-таки проходит.. Если пройдет то можно _asm int 3; как-то так написать _asm _emit 0xCC;

Попробуй еще вместо _asm __asm поставить, хотя в чем разница между ними не знаю.
Почитай хелп на компилятор, а то вот я работал в Borland С++ 5.02 - там асмвставки только для 16бит программ.
Самый крайний случай : Можно скомпилить нужные функции на асме и добавить *.obj к проекту.

[Treww]

Все получилось. Надо было два подчеркивания.

NTSTATUS
DriverEntry(PDRIVER_OBJECT DriverObj, PUNICODE_STRING RegistryPath)
{
..................

    __asm
    {
     int 3
     nop
    };
......................


Спасибо за помощь!
Будем дальше копать.

ЗЫ
Эксперисент провел.

В билдере от нуля до двух подчеркиваний
В вижуале надо одно или два подчеркивания.
В DDK надо два подчеркивания.

Извращенцы, блин.

[dachny]

А че DbgBreakPoint не помогает

[dimedrol]

dachny, все работает, но

Как тогда куски на асме вставлять? Попа.

Извращенцы, блин.

Теперь всегда буду __asm ставить!

[SlavaI]

to dimedrol 

DbgBreakPoint нельзя ловить SEH обработчиками, так как там прерывания буду запрещены при входе в SEH фильтры и обработчик, может упасть, а может повезти и прерывания опять разрешаться.
 
 

[dimedrol]

to SlavaI
Не хочу создавать оффтоп, но нельзя ли чуть подробнее почему.. Просто своими глазами видел такую-вот антиотладочную защиту:

Код:

try
    asm
     int 3
    end;
    //debugger present	
    ...
except
    //no debugger
end;

Вроде работает... И в WalterOney Debug and Breakpoint Exception входит в список отлавливаемых...
PS
Разве любое исключение внутри SEH это не есть прерывание (pagefault,gpf,into..)?

[SlavaI]

to dimedrol

Подробности тут  http://www.osronline.com/article.cfm?article=374
Это баг.