使用GPT还原Windows 内核驱动

JackLSQ

window 驱动文件相对于应用程序来说要简洁一些，更适合进行还原。

本次测试还原的驱动68kb，大概60+个函数。驱动还原的难点是在它自定义的结构体成员的识别。如果这些能分析出来还原还是很快的。

一般68kb 大小的驱动，采用人工分析+IDA的方式，还原需要两个月左右的时间。

使用GPT 之后大大缩短还原的时间，由于我使用的GPT 是plus  版本，花费了一周半的时间还原完，如果使用pro 版本 一个两三天可以还原完。


下面是还原前IDA中的代码(后期通过添加 相关结构体 修正后的 是为了校验GPT 还原的是否准确)及GPT分析完给出的代码


IDA 中的代码


GPT 还原出来的代码



IDA 中的代码



还原出来的代码




最后提供一份我写的skill，仅供参考。
skills.zip (12.94 KB, 下载次数: 5)

2026-6-26 11:55 上传

点击文件名下载附件
skill
下载积分: 吾爱币 -1 CB

wtujoxk

感谢分享skill