发现加载和卸载的内核模式驱动程序的足迹

【问题标题】:Discovering footprints of loaded and unloaded kernel mode drivers发现加载和卸载的内核模式驱动程序的足迹
【发布时间】:2019-08-07 13:15:28
【问题描述】:

背景:Windows 系统存在易受攻击的内核模式驱动程序,可以将其加载到系统中用于各种目的。加载的内核模式驱动程序会在系统中留下痕迹。例如,视频游戏的反作弊软件会在系统的各个部分寻找易受攻击的驱动程序痕迹,因为它们被用于作弊。反作弊软件使用的逻辑可能(或已经)被反rootkit工具或rootkit本身使用。

我想知道加载然后卸载驱动程序后留下的痕迹。根据我的研究,我在 Windows NT 内核中发现了这两个地方,卸载的驱动程序会在这些地方留下痕迹:

  1. PiDDBCacheTable
  2. MmUnloadedDrivers

(只是让您知道,这些是未记录的数据结构) 他们还能在哪里留下痕迹?不自己对Windows内核进行逆向工程,我能学会吗?

【问题讨论】:

    标签: windows windows-kernel nt


    【解决方案1】:

    据我所知,ExpCovUnloadedDrivers 是另一个检测卸载驱动程序的函数。但据我所知,只有使用代码覆盖率的驱动程序才会被添加到此列表中。

    【讨论】:

      猜你喜欢
      • 2021-06-22
      • 2013-11-10
      • 1970-01-01
      • 2023-04-03
      • 2020-08-15
      • 2015-11-19
      • 1970-01-01
      • 1970-01-01
      • 2016-09-28
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode