首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 编程技术
    3. 发新帖
[讨论]关于ProcMonitor的问题
发表于: 2016-6-18 20:52 11785

[讨论]关于ProcMonitor的问题

雪六四 活跃值
2016-6-18 20:52
11785
用ProcMonitor的时候,总是发现会有一个神秘的驱动程序文件叫PROCMON23.SYS。
但这个文件在C:\Windows\system32\Drivers目录里又是不存在的。
但是却在PowerTool的内核模块标签页的列表里,这一项为:
PROCMON23.SYS        过滤驱动        0xfffff8800a155000        0x1a000        0xfffffa800a9518c0        C:\Windows\system32\Drivers\PROCMON23.SYS        文件不存在
请问这是怎么回事?

请有经验的童鞋们回答。

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (5)
囧囧
雪    币: 284
活跃值: (3554)
能力值: ( LV5,RANK:75 )
在线值:
发帖
回帖
粉丝
私信
2
文件被删除以后,就是“神奇的”文件不存在。
2016-6-18 22:32
0
雪六四
雪    币: 12
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
那PROCMON23.SYS这个文件怎么被删除的呢?
是不是ProMonitor每次启动以后都会生成PROCMON23.SYS文件。当启动完成以后又会自动删除呢?
2016-6-19 11:00
0
蚯蚓降龙
雪    币: 4928
活跃值: (967)
能力值: ( LV9,RANK:175 )
在线值:
发帖
回帖
粉丝
私信
4
你随便加载个驱动 然后把驱动文件删除了 应该就能看到文件不存在的信息了
2016-6-19 22:26
0
雪六四
雪    币: 12
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
procmonitor不是我写的程序,我不知道它是怎么工作的,加载的,特此一问。
2016-6-22 17:08
0
hzqst
雪    币: 12848
活跃值: (9142)
能力值: ( LV9,RANK:280 )
在线值:
发帖
回帖
粉丝
私信
6
给磁盘驱动发送删文件的IRP即可
2016-7-5 12:11
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//