刚开始碰到的问题就是不能内核调试,因为要写驱动,需要用到。一般禁用内核调试都是在驱动里调用KdDisableDebugger,往上回溯一个函数,基本上就是驱动检测禁用是否成功的代码,否则就是一个循环不停的调用KdDisableDebugger函数。
我的做法是修改KdDisableDebugger代码,这样不管什么时候被调用到,内核调试都不能被禁用,无非就是驱动那个死循环会导致机器卡死罢了,在KdDisableDebugger上设置一个断点,中断后,就把KdDisableDebugger和驱动的代码都改掉,然后禁用断点,继续内核的执行。我用的是下面这个命令做这段话说的事情:
bp KdDisableDebugger"eb nt!KdDisableDebugger+26 75;eb nt!KdDisableDebugger+41 75;ebTesSafe+5069 74;eb TesSafe+2703 75;bd 0;g"
然后就是把驱动里hook的函数恢复,为了找到内核ssdt表里被hook的函数,看了网上的资料,有工具可以做这个事情,一是那些工具我都没有用过,不大会用,二是我想把内核里具体被inline hook的地址找出来,所以我就用了下面这个windbg脚本做这个事情,运行脚本之前需要记下eax, ebx, ecx的值,等脚本运行完成以后恢复。当然也可以用windbg里的伪寄存器,但是语法还有点不熟,就直接用现成的寄存器了,在启动游戏之前,先dump一下:
.logopen c:\logs\beforehook.txt # 因为dump出来的东西比较多,就放到一个log里
r ebx = 0 # 计数器
# 遍历ssdt表,把里面每个函数的汇编代码都dump出来,因为不知道每个函数的大小,所以每个函数都dump 1000行。
r ecx=poi(nt!KeServiceDescriptorTable)
.for (r eax=ecx;@eax < ecx+0x474; reax=eax+4; rebx=ebx+1) { r ebx; u poi(@eax) L1000}
# 保存log
.logclose
接下来,游戏启动之后,再dump一次,用kdiff3做个对比就知道哪些函数被修改过了。
看到被hook的函数以后,加上网上的资料,主要是参考看雪里的这篇资料: