Cómo depurar el controlador windbg

1. Compile el controlador (suponiendo que se llame ShowSSDT.sys) y envíe el archivo de símbolos del controlador ShowSSDT.pdb a la carpeta MySysSymbols (la carpeta previamente configurada para sus propios símbolos de depuración)

2. máquina y seleccione el modo de depuración para ingresar al sistema

3. Presione la tecla Ctrl Break en Windbg, escriba bu ShowSSDT!DriverEntry (establezca el punto de interrupción), presione Enter para confirmar y luego escriba el comando g para continuar con la ejecución.

4. Arrastre el archivo ShowSSDT.sb al sistema Windows. Arrastre ShowSSDT.sys a la máquina virtual (también puede copiar el archivo del controlador a través de la red), inicie InstDrv en el sistema de la máquina virtual y cargue el controlador (también puede usar SRVINSTW.EXE para instalar el controlador en el sistema como un Luego use el nombre del controlador net start o el nombre del controlador net stop)

5. Regrese a la ventana de Windbg, si todo es normal, verá en el código de entrada de ShowSSDT.sys que se ha interrumpido.

A continuación, si desea dar un paso o un punto de interrupción, o continuar la ejecución, depende de usted~~

F9 establece un punto de interrupción, presione una vez para cancelarlo

F10 avance de un solo paso, es decir, ejecución de un solo paso. Cuando encuentra una función (instrucción de llamada), no ingresa a la función, pero continúa funcionando después de que la función regresa

F11 de un solo paso. hacia adelante, es decir, ejecución en un solo paso. Un solo paso adelante, es decir, ejecución de un solo paso, encuentre una función (instrucción de llamada) y luego ingrese la función para continuar con la ejecución de un solo paso

Debug-gt; interrumpa la depuración (los puntos de interrupción solo se pueden establecer en caso de que de interrupción) )