一直使用Visual Studio + WDK的方式開發Windows驅動，最近想在VS2017下安裝WDK10開發驅動，結果遇到問題了，首先是沒法實現雙機除錯，然後是編譯出來的驅動在Win7平臺下一載入就藍屏，定位到是security_cookie的問題，緊接著又是生成的驅動與老版本Window相容性的問題，最後是KdPrint訊息看不到的問題。本文主要對遇到的這些問題和解決辦法進行記錄，主語虛擬機器中Win7的安裝等常規操作則略過，安裝好後的配置，搜一下“虛擬機器win7 雙機除錯”也都能解決。

搭建雙機除錯環境時的坑

WinDBG提示找不到對應串列埠，需將虛擬機器中的印表機刪除，該印表機預設佔用了COM1口：

對應WinDBG引數為：

"C:\Program Files (x86)\Windows Kits\10\Debuggers\x86\windbg.exe" -b -k com:pipe,port=\\.\pipe\com_1,resets=0,reconnect -y SRV*E:\DBGSymbols*E:\MySymbols*http://msdl.microsoft.com/download/symbols

解決由於Security Cookie初始演算法不相容導致的載入時藍屏

用VS2017配合WDK10搭了個驅動開發環境，用其中的WDM模板寫了個NT式的HelloWorld驅動，編譯後拖到測試機裡執行居然藍屏了。故障定位是/GS機制造成的：

放到IDA裡仔細看看：

很明顯，這裡就和0x0BB40E64E這個魔數槓上了，只要二者相等就直接藍屏。當然，直接關閉/GS這個編譯開關肯定能解決，但也就意味著程式可能被棧溢位攻擊。其主要問題是在Win7下，Loader將__security_cookie就是初始化成了這個值！將這個16進位制數搜一下，第一篇連結就解答了我們的疑惑。

同時也給出瞭解決方案：

1. 手動編譯，手動設定KernelBufferOverflowLib的路徑：

msbuild /p:KernelBufferOverflowLib="C:\Program Files (x86)\Windows
 
 Kits\8.1\Lib\win8\km\x64\BufferOverflowK.lib" /p:platform=x64 /p:Configuration="Win8 Release" myDriver.sln

1. 用記事本開啟驅動專案的工程檔案（.vcproj）並新增下面的內容：

<KernelBufferOverflowLib>$(DDK_LIB_PATH)\BufferOverflowK.lib<KernelBufferOverflowLib>

然而我們是在VS下編譯，應該可以直接設定lib庫的路徑，試了一下，果然可以：

再看看生成的驅動程式中cookie初始化部分：

INIT:00404010 ; =============== S U B R O U T I N E =======================================
INIT:00404010
INIT:00404010 ; Attributes: library function bp-based frame
INIT:00404010
INIT:00404010 ___security_init_cookie proc near       ; CODE XREF: GsDriverEntry(x,x)+5↑p
INIT:00404010
INIT:00404010 InitialSeed     = _LARGE_INTEGER ptr -8
INIT:00404010
INIT:00404010                 mov     edi, edi
INIT:00404012                 push    ebp
INIT:00404013                 mov     ebp, esp
INIT:00404015                 push    ecx
INIT:00404016                 push    ecx
INIT:00404017                 mov     eax, ___security_cookie
INIT:0040401C                 mov     ecx, 0BB40E64Eh
INIT:00404021                 test    eax, eax
INIT:00404023                 jz      short loc_404029
INIT:00404025                 cmp     eax, ecx
INIT:00404027                 jnz     short loc_40403E
INIT:00404029
INIT:00404029 loc_404029:                             ; CODE XREF: ___security_init_cookie+13↑j
INIT:00404029                 rdtsc
INIT:0040402B                 xor     eax, offset ___security_cookie
INIT:00404030                 mov     ___security_cookie, eax
INIT:00404035                 jnz     short loc_40403E
INIT:00404037                 mov     eax, ecx
INIT:00404039                 mov     ___security_cookie, eax
INIT:0040403E
INIT:0040403E loc_40403E:                             ; CODE XREF: ___security_init_cookie+17↑j
INIT:0040403E                                         ; ___security_init_cookie+25↑j
INIT:0040403E                 not     eax
INIT:00404040                 mov     ___security_cookie_complement, eax
INIT:00404045                 mov     esp, ebp
INIT:00404047                 pop     ebp
INIT:00404048                 retn
INIT:00404048 ___security_init_cookie endp
INIT:00404048
INIT:00404048 ; ---------------------------------------------------------------------------

這個流程就比較正常了，如果和魔數值相等，就將當前時間和魔數異或，然後取反作為初始種子。再測試一下，沒問題了。

使用WDK10 生成相容舊版Windows的驅動

另外在搜尋過程中，還順帶搜到了一篇《vs2015 WDK10 生成 低於win7 的驅動》，可見這裡:

將其中重點摘錄如下：

1. 定義兩個巨集：C_DEFINES=$(C_DEFINES) -DPOOL_NX_OPTIN=1
2. 驅動入口處加入：ExInitializeDriverRuntime(DrvRtPoolNxOptIn);

解決看不到KdPrint的問題

這樣是可以正常載入執行驅動了，然而卻看不到KdPrint的資訊。原因是需要在被除錯機中，對除錯過濾級別進行設定：

1. 定位到HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Session Manager/
2. 新建Key，名字為Debug Print Filter
3. 然後在此Key下新建一個DWORD value ，名字為DEFAULT,然後設定值為0x00000008,