首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
[求助]如何从内存中提取加载的驱动文件
发表于: 2017-7-4 12:05 6434

[求助]如何从内存中提取加载的驱动文件

wanc 活跃值
2017-7-4 12:05
6434
遇到一个恶意驱动,流氓驱动,这个驱动是加载完成后就删除了自己,我找不到这个驱动文件,不知道是哪家公司做的,想查看它的驱动签名,想找到这家公司的名字,我就想到了用PCHunter去提取,发现提取的文件不对,有4MB多,而且没有数字签名,请问大大们有什么提取内存中已加载驱动的方法吗?我记得好像火绒之前有篇文章提到可以在内存中dump,请问如何dump?或者有其它的思路??求大大们赐教。


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (4)
hzqst
雪    币: 12848
活跃值: (9142)
能力值: ( LV9,RANK:280 )
在线值:
发帖
回帖
粉丝
私信
2

装个火绒直接拦截掉不用谢我

2017-7-4 12:45
0
猪会被杀掉
雪    币: 18
活跃值: (1059)
能力值: ( LV7,RANK:110 )
在线值:
发帖
回帖
粉丝
私信
3
hzqst 装个火绒直接拦截掉不用谢我
这广告打得真好。
2017-7-4 14:10
0
laiyier
雪    币: 230
活跃值: (137)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
2017-7-5 00:06
0
laoxuhack
雪    币: 35
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
自己写个驱动,注册个回调,搞定
2017-9-12 16:25
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//