驱动逆向时DriverEntry开始的代码是干什么用的啊？

三设

NTSTATUS __stdcall DriverEntry(PDRIVER_OBJECT DriverObject, PUNICODE_STRING RegistryPath)
INIT:00011685                 public DriverEntry
INIT:00011685 DriverEntry     proc near
INIT:00011685                 mov     eax, dword_11600
INIT:0001168A                 test    eax, eax
INIT:0001168C                 mov     ecx, 0BB40E64Eh
INIT:00011691                 jz      short loc_11697
INIT:00011693                 cmp     eax, ecx
INIT:00011695                 jnz     short loc_116B0
INIT:00011697
INIT:00011697 loc_11697:                              ; CODE XREF: DriverEntry+Cj
INIT:00011697                 mov     eax, ds:KeTickCount
INIT:0001169C                 mov     eax, [eax]
INIT:0001169E                 xor     eax, offset dword_11600
INIT:000116A3                 mov     dword_11600, eax
INIT:000116A8                 jnz     short loc_116B0
INIT:000116AA                 mov     dword_11600, ecx
INIT:000116B0
INIT:000116B0 loc_116B0:                              ; CODE XREF: DriverEntry+10j
INIT:000116B0                                         ; DriverEntry+23j
INIT:000116B0                 jmp     sub_10DC2
INIT:000116B0 DriverEntry     endp

看了几个驱动的开头，都是这个东西，请问下这最开始的东西是干什么的啊？好像没什么用啊！

abcdd

估计是向C语言差不多的入口初始化函数，再往下是GetModuleHandle，call main。驱动可能也有在驱动入口的初始化代码，然后DriverEntry。

EchanEeg

驱动程序和系统DLL一样，需要一个入口函数格式是系统定义好的必须遵守，但函数名称可以自定义，驱动的入口函数只有两个指针型参数，第一个是指向驱动对象结构系统的PDRIVER_OBJECT在ntddk.inc中定义的是一个指针[PDRIVER_OBJECT  typedef PTR DRIVER_OBJECT]，另一个是指向注册表中驱动程序初始化设置的 注册表键路径的字符串 PUNICODE_STRING在ntdef.inc中定义的是[PUNICODE_STRING typedef PTR UNICODE_STRING]。

ehf488

编译的时候开启了gs cookie的都是这样的