背景:Windows 系统存在易受攻击的内核模式驱动程序,可以出于各种目的将其加载到系统中。加载的内核模式驱动程序会在系统中留下痕迹。例如,视频游戏的反作弊软件会在系统的各个部分寻找易受攻击的驱动程序痕迹,因为它们被用于作弊。反作弊软件使用的逻辑可能(或已经)被反 rootkit 工具或 rootkit 本身使用。
我想知道驱动程序加载然后卸载后留下的痕迹。通过我的研究,我在Windows NT内核中发现了这两个地方,卸载的驱动程序会留下痕迹:
(只是让你知道,那些是未记录的数据结构)他们还能在哪里留下痕迹?我是否可以在不自己对 Windows 内核进行逆向工程的情况下学习它?