Windbg_15-分析自己的驱动程序

1.内容概要：

• 驱动程序是运行在操作系统内核层的代码，具有很高的执行权限。
• 学习驱动程序开发是一个漫长又艰辛的过程，也并非是学习windbg的必要条件。
• 但是windbg的一个非常重要的应用就是用来分析自己写的驱动程序。

1.1：分析内核层的代码需要双机调试环境：

通过Virtual-KD搭建双机调试环境前面讲过。

因为内核程序没有图形化界面，所以调试信息只能通过调试字符函数输出到调试工具(Windbg)显示。

Windows 7默认对调试信息做了过滤处理，因此我们需要修改注册表设置开启windows7的调试信息输出功能。

如何修改注册表：

将下面内容写到.txt文本，将.txt文件后缀改为.reg。双击执行文件就修改，注意操作应该在Vmware的

window 7虚拟机中进行。

使程序自动中断：

​ 调试驱动程序不同与调试用户程序：它运行不会自动中断。

​ 用户层程序被调试时，自己就能够主动中断下 来。

​ 驱动被加载到内核后，并不会主动断下来，所以需要人为的添加断点。

1.2：实验演示：

需要在vs中安装和SDK版本对应的WDK，安装过程略。

新建一个WDM驱动程序作为调试：

程序源码：

将驱动拷贝到虚拟机中，网上下载一个驱动加载程序，因为驱动需要加载程序加载才能启动。前提是搭建好双机

调试环境：