看雪论坛
发新帖

[求助]如何从内存中提取加载的驱动文件

wanc 2017-7-4 12:05 723
遇到一个恶意驱动,流氓驱动,这个驱动是加载完成后就删除了自己,我找不到这个驱动文件,不知道是哪家公司做的,想查看它的驱动签名,想找到这家公司的名字,我就想到了用PCHunter去提取,发现提取的文件不对,有4MB多,而且没有数字签名,请问大大们有什么提取内存中已加载驱动的方法吗?我记得好像火绒之前有篇文章提到可以在内存中dump,请问如何dump?或者有其它的思路??求大大们赐教。

本主题帖已收到 0 次赞赏,累计¥0.00
最新回复 (4)
hzqst 2017-7-4 12:45
2

装个火绒直接拦截掉不用谢我

猪会被杀掉 2017-7-4 14:10
3
hzqst 装个火绒直接拦截掉不用谢我
这广告打得真好。
laiyier 2017-7-5 00:06
4
laoxuhack 2017-9-12 16:25
5
自己写个驱动,注册个回调,搞定
返回



©2000-2017 看雪学院 | Based on Xiuno BBS | 微信公众号:ikanxue
Time: 0.012, SQL: 9 / 京ICP备10040895号-17