首页
课程
问答
CTF
社区
招聘
峰会
发现
排行榜
知识库
工具下载
看雪20年
看雪商城
证书查询
登录
注册
首页
社区
课程
招聘
发现
问答
CTF
排行榜
知识库
工具下载
峰会
看雪商城
证书查询
社区
软件逆向
发新帖
1
0
[讨论]关于驱动dump问题。
发表于: 2016-12-3 23:24
4561
[讨论]关于驱动dump问题。
ffashi
2016-12-3 23:24
4561
大家都知道,已经加载的驱动 在硬盘上的文件可以删除。
那么,我们就没办法去读取硬盘上的这个驱动文件。
那么我们应该怎么才能在已加载的内存里把他读出来呢,读部分也行。
我主要是想做驱动效验,检测本机是否安装过某个驱动。
如果能取出部分,那么也可以取部分数据的md5做效验。
求思路!
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
#系统底层
收藏
・
1
免费
・
0
支持
分享
分享到微信
分享到QQ
分享到微博
赞赏记录
参与人
雪币
留言
时间
查看更多
赞赏
×
1 雪花
5 雪花
10 雪花
20 雪花
50 雪花
80 雪花
100 雪花
150 雪花
200 雪花
支付方式:
微信支付
赞赏留言:
快捷留言
感谢分享~
精品文章~
原创内容~
精彩转帖~
助人为乐~
感谢分享~
最新回复
(
5
)
gmhzxy
雪 币:
284
活跃值:
(250)
能力值:
( LV4,RANK:40 )
在线值:
发帖
9
回帖
135
粉丝
14
关注
私信
gmhzxy
2
楼
drvobj->section (LRR)拿 base。 手工pe解析
2016-12-5 01:16
0
Morgion
雪 币:
608
活跃值:
(648)
能力值:
( LV4,RANK:50 )
在线值:
发帖
9
回帖
649
粉丝
5
关注
私信
Morgion
1
3
楼
用ZwQuerySystemInformation拿到驱动的ImageBase
之后从PE结构计算ImageSize,然后dump就可以了。记得判断页面的有效性就可以了
2016-12-5 06:14
0
ffashi
雪 币:
772
活跃值:
(992)
能力值:
( LV2,RANK:10 )
在线值:
发帖
75
回帖
253
粉丝
9
关注
私信
ffashi
4
楼
打个比方说: xuntr加载的驱动 是 xuntr.sys
我想写个软件在应用层直接遍历到他,是否存在。
2016-12-5 19:32
0
爱在手心
雪 币:
53
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
6
回帖
50
粉丝
0
关注
私信
爱在手心
5
楼
好,用来内存扫描是不是也可以呀!
2016-12-7 21:05
0
ffashi
雪 币:
772
活跃值:
(992)
能力值:
( LV2,RANK:10 )
在线值:
发帖
75
回帖
253
粉丝
9
关注
私信
ffashi
6
楼
目的是判断是否存在某些驱动文件已加载。
2016-12-10 20:19
0
游客
登录
|
注册
方可回帖
回帖
表情
雪币赚取及消费
高级回复
返回
ffashi
75
发帖
253
回帖
10
RANK
关注
私信
他的文章
关于socket tcp recv过程交流。
7453
[讨论]关于TCP打洞的别类试想。
5671
[讨论]【ip策略防火墙】IPsec非netsh.exe 。而是调用polstore.dll完成。
5765
[原创] QQ太垃圾了,偶发性占用我CPU 100%,我怒了。
6613
[原创] 关于 调用[netsh.exe]添加删除IP策略。
3291
关于我们
联系我们
企业服务
看雪公众号
专注于PC、移动、智能设备安全研究及逆向工程的开发者社区
看原图
赞赏
×
雪币:
+
留言:
快捷留言
为你点赞!
返回
顶部