0x2 驱动的执行和调试

1.驱动的开发流程：

2.第一个驱动程序编写

#include <ntddk.h>

//卸载函数
VOID DriverUnload(PDRIVER_OBJECT driver)
{
	DbgPrint("驱动程序停止运行了.\r\n");
}

//入口函数，相当于main
NTSTATUS DriverEntry(PDRIVER_OBJECT driver, PUNICODE_STRING reg_path)
{
	DbgPrint("Mikasys的第一个驱动程序启动啦\n");
	//设置一个卸载函数，便于退出
	driver->DriverUnload = DriverUnload;
	return STATUS_SUCCESS;
}

3.复制sys到虚拟机，并且配置pdb

F7编译完后会在Driver里生成一个.sys文件，复制到虚拟机里就可以准备加载了

科普一下pdb文件(Program Debug Database)

windbg配置一下pdb

4.加载驱动并用dbgview观察

打开KmdManager和dbgview，用KmdManager加载驱动
效果如下:

注意！！！DebugView一定要把捕捉内核打开

5.验证调试

为了验证windbg是否将上面添加的Driver目录加入，在调用卸载函数之前加一个内联汇编

	__asm
	{
		int 3
		mov eax,eax		//无意义，检测windbg是否能显示出来
		mov eax,eax
	}

编译之后将新生成的sys文件复制到虚拟机，加载驱动。如果windbg自动弹出代码，说明成功！