那些遇到过的问题

发现加载和卸载内核模式驱动程序的足迹

Joe*_*Toe 6 windows nt windows-kernel

背景:Windows 系统存在易受攻击的内核模式驱动程序,可以出于各种目的将其加载到系统中。加载的内核模式驱动程序会在系统中留下痕迹。例如,视频游戏的反作弊软件会在系统的各个部分寻找易受攻击的驱动程序痕迹,因为它们被用于作弊。反作弊软件使用的逻辑可能(或已经)被反 rootkit 工具或 rootkit 本身使用。

我想知道驱动程序加载然后卸载后留下的痕迹。通过我的研究,我在Windows NT内核中发现了这两个地方,卸载的驱动程序会留下痕迹:

  1. PiDDB缓存表
  2. 卸载驱动程序

(只是让你知道,那些是未记录的数据结构)他们还能在哪里留下痕迹?我是否可以在不自己对 Windows 内核进行逆向工程的情况下学习它?

Luc*_*den 2

据我所知,ExpCovUnloadedDrivers这是另一个检测卸载驱动程序的功能。但据我所知,只有使用代码覆盖率的驱动程序才会添加到此列表中。

归档时间:

查看次数:

274 次

最近记录:

5 年,5 月 前
相关归档
PHP 7:缺少VCRUNTIME140.dll 163
NTFS连接点和符号链接有什么区别? 126
Windows上的fcntl替代品 65
在Cygwin中永久设置Anaconda的Python路径 28
在基于Linux的发行版上签署Windows应用程序 23
无法加载Subversion python绑定 20
通过Git Bash在Windows 7上安装gcc编译器? 13
如何调试 Jenkins 错误消息“找不到合适的 ssh-agent 提供商”? 8
在Ruby中使用不同的闭包类型时奇怪的File.open行为 7
适用于 S3 的 AWS CLI - Errno 2 没有此类文件或目录:u' 7
难疑归档
是否可以将CSS应用于角色的一半? 2717
Spring中的@ Component,@ Repository和@Service注释有什么区别? 1969
何时在JavaScript中使用双引号或单引号? 1903
如何一致地跨浏览器对齐复选框及其标签 1668
根据pandas中列的值从DataFrame中选择行 1649
Java是否支持默认参数值? 1569
如何自动调整图像大小以适合div容器 1394
如何配置git在本地忽略某些文件? 1237
"静态"在C中意味着什么? 1062
抵消html锚点以调整固定标题 1056