"Отладка" драйвера в Olly

прочел в одной из тем сообщение К. Касперски , что умеючи можно использовать олли для отладки драйвера.
Кто в теме расскажите поподробнее процедуру.

 

ts
Что понимать под отладкой ?

 

разумеется речь идет не о полноценной отладке р0.
пример. есть упакованный драйвер, надо получить неупакованный )

 

ts
Память читать можно чем угодно. Олли не ядреный отладчик.

 

я знаю что олли не ядерный. При чем здесь "читать память", простите?
требуется в р3 выполнять код драйвера, смотреть значения регистров и все остальное.

 

ts
Нельзя.

 

можно для распаковки, если конечно распаковщик совсем тупой

 

n0name
я в другом топе ссылку на скрипт спрашивал

 

n0name
Установите IOPL -> 3 и выполните Cli под олей

 

лол, ясное дело что инструкции для r0 не смогут корректно работать.
однако для пакеров cli - нетипичная инструкция, а пара первых уровней можно пройти и под олей.

 

> я в другом топе ссылку на скрипт спрашивал
я ссылки обычно в голове не держу, зачем?

 

ну хоть название скрипта или где искать

 

Редактируешь флаги в заголовке (substystem: native -> win32) и отлаживай на здоровье.

 

reverser
Я тоже использую олли в качестве дизасма(мне привычнее видеть код в ней, чем в иде) для ядерных кодов. И символы отлично читает 1.10. Но это никак не связано с отладкой. Можно промапить часть памяти ядра на чтение и запись в лузермод, но непосредственно отлаживать код в ней нельзя(регистры ядерные считать и пр.). Если лузермодные трап-фреймы просматривать, то это можно. Порты читать можно и только.