【发布时间】:2020-05-09 00:39:01
【问题描述】:
是否可以在文件不接触磁盘的情况下从内存中加载已签名的 Windows 驱动程序?如果可能,实现起来是否微不足道,或者是否有任何障碍需要克服。澄清一下,驱动程序可能存在于磁盘上,但处于编码状态。
例如,我知道可以从内存中解码负载并将其注入到另一个正在运行的进程中,但由于这在技术上是 Windows 的“功能”,所以我不确定在加载内容时事情是否一样简单进入内核。
如果可能的话,来源的奖励积分。我的所有搜索结果都是人们互相称对方为白痴和恶意软件作者,而没有真正了解这在技术上是否可行/可行。
我的用例是 md5sum 检测,因为要将驱动程序加载到 64 位 Windows 系统上,它们必须经过签名,因此哈希值是不可变的。如果您可以从内存中加载驱动程序,那么监控文件系统将不足以满足我的需求。
【问题讨论】:
标签: windows memory driver kernel-module malware-detection