首页
社区
课程
招聘
[讨论]关于驱动dump问题。
发表于: 2016-12-3 23:24 4561

[讨论]关于驱动dump问题。

2016-12-3 23:24
4561
大家都知道,已经加载的驱动  在硬盘上的文件可以删除。
那么,我们就没办法去读取硬盘上的这个驱动文件。
那么我们应该怎么才能在已加载的内存里把他读出来呢,读部分也行。

我主要是想做驱动效验,检测本机是否安装过某个驱动。
如果能取出部分,那么也可以取部分数据的md5做效验。
求思路!

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (5)
雪    币: 284
活跃值: (250)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
2
drvobj->section (LRR)拿 base。 手工pe解析
2016-12-5 01:16
0
雪    币: 608
活跃值: (648)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
3
用ZwQuerySystemInformation拿到驱动的ImageBase
之后从PE结构计算ImageSize,然后dump就可以了。记得判断页面的有效性就可以了
2016-12-5 06:14
0
雪    币: 772
活跃值: (992)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
打个比方说: xuntr加载的驱动 是  xuntr.sys
我想写个软件在应用层直接遍历到他,是否存在。
2016-12-5 19:32
0
雪    币: 53
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
好,用来内存扫描是不是也可以呀!
2016-12-7 21:05
0
雪    币: 772
活跃值: (992)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
目的是判断是否存在某些驱动文件已加载。
2016-12-10 20:19
0
游客
登录 | 注册 方可回帖
返回
//