无符号文件的驱动中断DriverEntry方法

当我们调试有符号的windows驱动时，通常可以使用bu module!DriverEntry, 在模块的DriverEntry位置打上断点。
那么对于无符号驱动，应该如何找到DriverEntry函数的位置呢？

从正常的DriverEntry的调用栈栈中可以看到驱动加载的调用路径基本上如下所示。

nt!IopLoadDriver->nt!PnpCallDriverEntry->module!DriverEntry

虽然每个系统的实现可能存在差异，但是基本上都会调用到IopLoadDriver函数。
因此，我们可以使用uf nt!IopLoadDriver命令查找 nt!IopLoadDriver的下层调用。

上图中可以看到在pe文件后，又通过nt!PnpCallDriverEntry进入了下层函数。
然后在反汇编窗口中可以发现，这里通过CFG的派遣调用方式执行了RAX指向的函数。

因此，我们在上图红色位置打下断点，等待内核执行到这里，查看RAX的地址。即驱动的DriverEntry入口点。

_guard_dispatch_icall
描述：_guard_dispatch_icall是CFG机制的派遣函数。

在内核中，许多函数都需要进行间接调用，出于安全性考虑，避免目标地址被控制，因此不会直接CALL目标地址，而是先通过_guard_dispatch_icall检查地址合法性，并由其进行调用，如果地址合法，它的作用相当于「CALL RAX」。