[病毒分析]WinDBG实战教学（1）（二）

然后我们继续分析，这次我们分析Lab10-01.sys

我们找到驱动的入口点，然后查找

mov edi, edi
push ebp
mov ebp, esp

这些操作是在调用函数之前的初始化栈空间操作，如果你好好分析就会知道，这些操作会在栈上重新分配一些空间给要调用的函数，对我们分析来说，无关紧要，然后之后就调用了sub_10920，我们进去看看，这里执行的是驱动函数的一些必要操作。

然后我们退出来，看看下一个函数sub_10906

上图中出现了一个函数的赋值，sub_10486，然后我们进去看看就会发现这个

这个函数会调用RtlCreateRegistryKey这个内核函数来创建一个键在\Registry\Machine\SOFTWARE\Policies\Microsoft，然后设置为0

然后下一个调用是

再下面也是一样的\Registry\Machine\SOFTWARE\Policies\Microsoft\WindowsFire，然后写入的信息是wall\StandarProfile为0

入参是这么几个

然后我们看看这个Path的路径是多少，在这里的ebx显示是这样的，他被赋值为aRegistryMach_2之后就没被改变过了

所以这里的Path的值就是\Registry\Machine\SOFTWARE\Policies\Microsoft\WindowsFire，然后值为wall\DomainProfile, 0

然后ValueName的值是edi，在IDA里查找最后改变edi的值

最上面那里一个mov赋值之后就没有改变过了，然后这个ValueName的值是一个dw类型的，也就是E

总结一下这个函数做了什么：

RtlWriteRegistryValue例程将调用方提供的数据以指定的值名称写入指定的相对路径。

这里会将\Registry\Machine\SOFTWARE\Policies\Microsoft\WindowsFire\wall\DomainProfile的值写入成45h

四、WinDBG调试

问题：用户态的程序调试了ControlService函数，用Windbg设置一个断点，来观察ControlService的调试导致内核执行了怎么样的操作？

我们先在IDA中找到ControlService

然后找到地址为401080，我们在OD里面加载断点

然后执行到这里

然后我们现在可以跳出虚拟机了，Windbg发送break然后暂停虚拟机的运行

我们已经暂停了虚拟机的执行，Windbg在等待我们的输入

我们输入!drvobj Lab10-01， 我在Win10物理机上做是有点慢，慢慢的才会出结果来，等一下