映射驱动程序文件

  • 项目

替换驱动程序文件可能很困难。 通常,必须启动到 Microsoft Windows 安全版本,替换驱动程序二进制文件,然后再次启动。

存在使用映射文件的替代方法。 可以使用此映射方法替换任何内核模式驱动程序 (包括显示驱动程序) 、任何 Windows 子系统驱动程序或任何其他内核模式模块。 为简单起见,这些文件在本主题中称为 驱动程序 ,即使你可以将此方法用于任何内核模式模块。

每当 WinDbg 或 KD 作为内核调试器附加时,都可以使用此方法。 也可以在启动驱动程序上使用此方法,但比较困难。 有关如何将此方法用于启动驱动程序的详细信息,请参阅替换启动驱动程序。

若要使用驱动程序替换映射来替换驱动程序文件,请执行以下操作:

  1. 创建 驱动程序替换映射文件。 此文件是一个文本文件,其中列出了目标计算机上的驱动程序及其在主计算机上的替换驱动程序。 可以替换任意数量的驱动程序。 例如,可以在主计算机的 d:\Map_Files 目录中创建一个名为 Mymap.ini 的文件,其中包含以下信息。

    map
\Systemroot\system32\drivers\videoprt.sys
\\myserver\myshare\new_drivers\videoprt.sys

    有关此文件的语法的详细信息,请参阅驱动程序替换映射文件格式。

  2. 设置与目标计算机的内核调试连接,并在主计算机上 (KD 或 WinDbg) 启动内核调试器。 (实际上不必闯入目标计算机。)

  3. 通过执行以下操作之一加载驱动程序替换映射文件:

    • 在启动内核调试器之前设置_NT_KD_FILES 环境变量

      D:\Debugging Tools for Windows> set _NT_KD_FILES=d:\Map_Files\mymap.ini
D:\Debugging Tools for Windows> kd

    • 启动内核调试器后 ,使用 .kdfiles (Set Driver Replacement Map) 命令。

      D:\Debugging Tools for Windows> kd
kd> .kdfiles d:\Map_Files\mymap.ini
KD file associations loaded from 'd:\Map_Files\mymap.ini'

      还可以使用 .kdfiles 命令显示当前驱动程序替换映射文件或删除驱动程序替换映射。 如果不使用此命令,映射将一直保留到退出调试器为止。

完成此过程后,驱动程序替换映射将生效。

每当目标计算机要加载驱动程序时,它会查询内核调试器以确定是否已映射此驱动程序。 如果驱动程序已映射,则通过内核连接发送替换文件,并通过旧驱动程序文件复制替换文件。 然后加载新驱动程序。

驱动程序替换映射文件格式

每个驱动程序文件替换都由驱动程序替换映射文件中的三行指示。

  • 第一行由单词“map”组成。

  • 第二行指定目标计算机上旧驱动程序的路径和文件名。

  • 第三行指定新驱动程序的完整路径。 此驱动程序可以位于主计算机或其他服务器上。

可以重复这种信息模式的任意次数。

路径和文件名不区分大小写,实际的驱动程序文件名可能不同。 当目标计算机即将加载该驱动程序时,将在第三行指定的文件上复制您在第三行中指定的文件。

Kdfiles 将尝试匹配存储在服务控制管理器 (SCM) 数据库中的文件名。 SCM 数据库中的名称与传递给 MmLoadSystemImage 的名称相同。

在Windows 10及更高版本的调试工具中,驱动程序映射的工作原理是动态匹配驱动程序名称并确定正确的路径。 无需指定完整路径,文件扩展名是可选的。 可以使用其中任一条目来匹配 NT 文件系统驱动程序。

  • Ntfs
  • NTFS
  • ntfs.sys
  • windows\system32\drivers\ntfs.sys

可以使用其中任一条目来匹配 NT 内核驱动程序。

  • ntoskrnl
  • NTOSKRNL
  • ntoskrnl.sys
  • windows\system32\drivers\ntoskrnl.sys

地图文件可以包含空白行,并且可以包含以数字符号开头的注释行 (#) 。 但是,在文件中出现“map”后,接下来的两行必须是旧驱动程序和新驱动程序。 空白行和注释行无法分解三行地图块。

以下示例显示了驱动程序替换映射文件。

# Use the # for comments like this one
map
\Systemroot\system32\drivers\videoprt.sys
e:\MyNewDriver\binaries\videoprt.sys
map
\Systemroot\system32\mydriver.sys
\\myserver\myshare\new_drivers\mydriver0031.sys

# This is replacing a beep driver
map
\??\c:\windows\system32\beep.sys
\\myserver\myshare\new_drivers\new_beep.sys

驱动程序替换映射文件必须是文本文件,但你可以使用任何文件名和文件扩展名 (.ini、.txt、.map 等) 。

其他说明

发生驱动程序替换时,内核调试器中会显示一条消息。

如果在 KD) 中使用 CTRL+D (或 WinDbg) 中的 CTRL+ALT+D (,则会看到有关替换请求的详细信息。 如果不确定列出的名称是否与 SCM 数据库中的名称匹配,则此信息非常有用。

可以启用 bcdedit bootdebug 选项来查看对替换内核、hal 或启动驱动程序有用的早期启动信息。

bcdedit -bootdebug on

有关详细信息,请参阅 BCDEdit 选项参考

如果内核调试器退出,则不会再进行驱动程序更换。 但是,任何已替换的驱动程序都不会还原到其旧二进制文件,因为驱动程序文件实际上会被覆盖。

此驱动程序替换功能自动绕过 Windows 文件保护 (WFP) 。

无需重启目标计算机。 每当目标计算机加载驱动程序时,都会发生驱动程序更换,无论它是否已重启。 当然,大多数驱动程序都是在启动过程中加载的,因此实际上应在加载映射文件后重启目标计算机。

如果定义了 _NT_KD_FILES 变量,则会在启动内核调试器时读取指定的驱动程序替换映射文件。 如果发出 .kdfiles 命令,将立即读取指定的文件。 此时,调试器会验证文件是否具有基本的映射/线条/线条格式。 但在发生替换之前,不会验证实际路径和文件名。

读取映射文件后,调试器将存储其内容。 如果在此时间点之后更改此文件,则除非) 重新发出 .kdfiles 命令,否则更改 (不起作用。