背景:在被除錯機驅動程式載入前,windbg可通過.kdfiles命令直接將驅動替換為除錯主機上驅動檔案。
(1).kdfiles命令
在驅動載入前,執行命令如下即可:
.kdfiles -m system32\drivers\test.sys e:\test222.sys
(2)mapfile檔案
當然,也可以將kdfiles儲存在檔案中執行。
例如將如下內容儲存到e:\filemap.ini。
mapsystem32\drivers\devscan.sys
e:\newserverworkspace\win10drivers\trunk\bin\amd64\devscandummy.sys
然後執行.kdfiles e:\mapfile.ini,即可載入。
另外,也可以通過設定環境變數來讓windbg自動載入mapfile。如設定環境變數為_nt_kd_files=e:\mapfile.ini。然後執行windbg時會自動載入該檔案。
(3)如何找到被替換驅動的目錄
像第(1)像中,system32\drivers\test.sys是被替換驅動的路徑,該路徑不能隨便填寫,那該如何確定驅動路徑名呢?
其實該路徑就是驅動在登錄檔中imagepath登錄檔的值。
在除錯時,該登錄檔值可能不方便檢視,沒關係,可以用windbg命令來找出。
a. 執行命令:
!reg querykey \registry\machine\system\controlset001\services
顯示fffff800034eb72c devscan
use '!reg keyinfo fffff8a000024010 ' to dump the subkey details
b. 執行命令:
!reg keyinfo fffff8a000024010 fffff800034eb72c
顯示reg_expand_sz imagepath system32\drivers\test.sys
那麼這裡的system32\drivers\test.sys,就是我們想要找的被替換驅動的路徑了。
使用GraphEdit使用
1 註冊元件。其實乙個filter就是乙個com元件,所以使用之前需要註冊,可以有兩種方法對元件進行註冊。1.直接使用命令。命令列下輸入 regsvr32 hqtlystd.ax 編譯之後你會在工程目錄下的debug中找到hqtlystd.ax,這個就是要用的filter 即可註冊成功。2.vc6....
MySQL使用學習使用 mysql學習使用
1 mysql學習 1 安裝 ubuntu下直接安裝 apt get install mysql server 2 檢查伺服器是否啟動 sudo netstat tap grep mysql,如果啟動成功,出現以下資訊 tcp00localhost.localdomain mysql listen ...
學習使用CSDN markdown使用
建立乙個自定義列表 如何建立乙個註腳 注釋也是必不可少的 katex數學公式 新的甘特圖功能,豐富你的文章 uml 圖表 flowchart流程圖 匯出與匯入 你好!這是你第一次使用markdown編輯器所展示的歡迎頁。如果你想學習如何使用markdown編輯器,可以仔細閱讀這篇文章,了解一下mar...