首页
论坛
专栏
课程

[系统底层] [讨论]关于驱动dump问题。

2016-12-3 23:24 2340

[系统底层] [讨论]关于驱动dump问题。

2016-12-3 23:24
2340
大家都知道,已经加载的驱动  在硬盘上的文件可以删除。
那么,我们就没办法去读取硬盘上的这个驱动文件。
那么我们应该怎么才能在已加载的内存里把他读出来呢,读部分也行。

我主要是想做驱动效验,检测本机是否安装过某个驱动。
如果能取出部分,那么也可以取部分数据的md5做效验。
求思路!

[公告]安全服务和外包项目请将项目需求发到看雪企服平台:https://qifu.kanxue.com

最新回复 (5)
gmhzxy 2016-12-5 01:16
2
0
drvobj->section (LRR)拿 base。 手工pe解析
Morgion 1 2016-12-5 06:14
3
0
用ZwQuerySystemInformation拿到驱动的ImageBase
之后从PE结构计算ImageSize,然后dump就可以了。记得判断页面的有效性就可以了
ffashi 2016-12-5 19:32
4
0
打个比方说: xuntr加载的驱动 是  xuntr.sys
我想写个软件在应用层直接遍历到他,是否存在。
爱在手心 2016-12-7 21:05
5
0
好,用来内存扫描是不是也可以呀!
ffashi 2016-12-10 20:19
6
0
目的是判断是否存在某些驱动文件已加载。
游客
登录 | 注册 方可回帖
返回