当系统加载一个驱动时，会为这个驱动建立一个_KLDR_DATA_TABLE_ENTRY结构体，DRIVER_OBJECT结构体的DriverSection成员指向这个结构体。以下是WRK中_KLDR_DATA_TABLE_ENTRY结构体的定义：

typedef struct _KLDR_DATA_TABLE_ENTRY {
    LIST_ENTRY InLoadOrderLinks;
    PVOID ExceptionTable;
    ULONG ExceptionTableSize;
    // ULONG padding on IA64
    PVOID GpValue;
    PNON_PAGED_DEBUG_INFO NonPagedDebugInfo;
    PVOID DllBase;
    PVOID EntryPoint;
    ULONG SizeOfImage;
    UNICODE_STRING FullDllName;
    UNICODE_STRING BaseDllName;
    ULONG Flags;
    USHORT LoadCount;
    USHORT __Unused5;
    PVOID SectionPointer;
    ULONG CheckSum;
    // ULONG padding on IA64
    PVOID LoadedImports;
    PVOID PatchInformation;
} KLDR_DATA_TABLE_ENTRY, *PKLDR_DATA_TABLE_ENTRY;
其中 PVOID DllBase; 成员指明了驱动的加载基址；
UNICODE_STRING FullDllName;指明了驱动.sys文件的全路径；
所有驱动的结构体通过InLoadOrderLinks成员链接起来，链表头部为PsLoadedModuleList，因此可以通过遍历PsLoadedModuleList来得到所有加载的驱动。

在测试中发现，如果将某一驱动的DllBase或FullDllName.buffer填为0，那么XueTr就不会显示这个驱动，以下是将DllBase填0时的验证代码：
/*
* 【作者：KiDebug】
* 【空间：http://hi.baidu.com/KiDebug/】
*/
#include <ntddk.h>

//偷懒版，完整版定义见WRK的_KLDR_DATA_TABLE_ENTRY
typedef struct _LDR_DATA_TABLE_ENTRY {
        LIST_ENTRY                InLoadOrderLinks;
        LIST_ENTRY                InMemoryOrderLinks;
        LIST_ENTRY                InInitializationOrderLinks;
        PVOID                        DllBase;
        PVOID                        EntryPoint;
        ULONG                        SizeOfImage;
        UNICODE_STRING        FullDllName;
        UNICODE_STRING        BaseDllName;
}LDR_DATA_TABLE_ENTRY,*PLDR_DATA_TABLE_ENTRY;

PVOID        pDllBase;

VOID Reinitialize( PDRIVER_OBJECT DriverObject, PVOID Context, ULONG Count )
{
        ((PLDR_DATA_TABLE_ENTRY)DriverObject->DriverSection)->DllBase = NULL;//将DllBase填0
}

void testUnload(IN PDRIVER_OBJECT DriverObject)
{
        ((PLDR_DATA_TABLE_ENTRY)DriverObject->DriverSection)->DllBase = pDllBase;//恢复DllBase，以便驱动能顺利卸载
}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING  RegistryPath)
{
        DriverObject->DriverUnload = testUnload;
        pDllBase        =        ((PLDR_DATA_TABLE_ENTRY)DriverObject->DriverSection)->DllBase;
        IoRegisterDriverReinitialization(DriverObject,Reinitialize,NULL);
        return STATUS_SUCCESS;
}
用InstDrv.exe加载编译后的驱动test.sys，依次点击安装、启动，然后用XueTr查看“驱动模块”，里面没有test.sys；用IceSword.exe 1.22查看“内核模块”，可以看到test.sys的存在。

以下是将FullDllName.buffer填为0时的验证代码：
/*
* 【作者：KiDebug】
* 【空间：http://hi.baidu.com/KiDebug/】
*/
#include <ntddk.h>

//偷懒版，完整版定义见WRK的_KLDR_DATA_TABLE_ENTRY
typedef struct _LDR_DATA_TABLE_ENTRY {
        LIST_ENTRY                InLoadOrderLinks;
        LIST_ENTRY                InMemoryOrderLinks;
        LIST_ENTRY                InInitializationOrderLinks;
        PVOID                        DllBase;
        PVOID                        EntryPoint;
        ULONG                        SizeOfImage;
        UNICODE_STRING        FullDllName;
        UNICODE_STRING        BaseDllName;
}LDR_DATA_TABLE_ENTRY,*PLDR_DATA_TABLE_ENTRY;

void testUnload(IN PDRIVER_OBJECT DriverObject)
{
}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING  RegistryPath)
{
        DriverObject->DriverUnload = testUnload;
        ((PLDR_DATA_TABLE_ENTRY)DriverObject->DriverSection)->FullDllName.Buffer=NULL;
        return STATUS_SUCCESS;
}
先用InstDrv.exe加载编译后的驱动test.sys，依次点击安装、启动，然后双击打开IceSword.exe 1.22，提示“程序初始化失败，错误代码1”，然后提示“无法初始化，程序退出”；双击打开PowerTool.exe 3.6.2，蓝屏。
打开XueTr.exe 0.39，查看“驱动模块”，显示有可疑驱动的存在，如果在WinDBG中手动将ntkrnlpa.exe对应的FullDllName.buffer填为0，XueTr不会显示ntkrnlpa.exe的存在。

浓缩版：
1：DllBase填0，无可疑驱动
2：FullDllName.buffer填0，有可疑驱动
3：XueTr 0.39
4：没有建立DeviceObject

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法