[求助] 有没有办法判断某驱动是否已经加载？-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助] 有没有办法判断某驱动是否已经加载？

发表于: 2018-7-5 02:49 4200

[求助] 有没有办法判断某驱动是否已经加载？

ffashi

活跃值

2018-7-5 02:49

4200

通过枚举获得文件名、文件尺寸、服务名，根据这些信息判断驱动的唯一性非常差，完全不靠谱。

我听朋友说通过对象名判断，是可以的。但是缺乏方法，

之前想过R3拷贝驱动内存做md5对比，但是R3是不可能做到的。

有没有其他方法判断？麻烦知道的朋友说下，谢谢！

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・2

免费・0

支持

分享

最新回复 (18)
万剑归宗雪币： 914 活跃值： (2478) 能力值： ( LV5，RANK：68 ) 在线值：发帖 6 回帖 519 粉丝 36 关注私信	万剑归宗 1 2 楼 ZwQuerySystemInfomation 2018-7-5 08:51 0
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 569 关注私信	hzqst 3 3 楼某驱动是谁 2018-7-5 08:52 0
ffashi 雪币： 772 活跃值： (992) 能力值： ( LV2，RANK：10 ) 在线值：发帖 75 回帖 253 粉丝 9 关注私信	ffashi 4 楼 hzqst 某驱动是谁就是判断某驱动是否正在运行 2018-7-5 13:58 0
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 569 关注私信	hzqst 3 5 楼 ffashi 就是判断某驱动是否正在运行那么某驱动又是哪个驱动？ 2018-7-5 15:59 0
wowocock 雪币： 405 活跃值： (2285) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 298 粉丝 21 关注私信	wowocock 1 6 楼只要WINOBJ能看到的驱动R3就能检测到。 2018-7-5 19:05 0
ffashi 雪币： 772 活跃值： (992) 能力值： ( LV2，RANK：10 ) 在线值：发帖 75 回帖 253 粉丝 9 关注私信	ffashi 7 楼 wowocock 只要WINOBJ能看到的驱动R3就能检测到。麻烦指点一下，我只是想判断一个驱动是否在运行而已。 2018-7-5 20:12 0
ffashi 雪币： 772 活跃值： (992) 能力值： ( LV2，RANK：10 ) 在线值：发帖 75 回帖 253 粉丝 9 关注私信	ffashi 8 楼之前试过，服务名这个靠谱性稍微强一点点。通过驱动尺寸，文件名，是完全不靠谱的。有朋友说什么对象名称。完全不懂，这是什么名字字符串吗？ 2018-7-5 20:13 0
MaMy 雪币： 12 活跃值： (423) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 282 粉丝 2 关注私信	MaMy 9 楼正常驱动,枚举内核模块就行, 非正常驱动不在讨论范围之内 2018-7-5 21:30 0
ffashi 雪币： 772 活跃值： (992) 能力值： ( LV2，RANK：10 ) 在线值：发帖 75 回帖 253 粉丝 9 关注私信	ffashi 10 楼 MaMy 正常驱动,枚举内核模块就行, 非正常驱动不在讨论范围之内我有个想法，能否枚举出所有驱动。然后模仿驱动通讯码进行通讯，成功则执行卸载。或者干啥。这个通讯码，我们可以通过hook原程序获得。 2018-7-8 23:18 0
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 569 关注私信	hzqst 3 11 楼 ffashi 我有个想法，能否枚举出所有驱动。然后模仿驱动通讯码进行通讯，成功则执行卸载。或者干啥。这个通讯码，我们可以通过hook原程序获得。不知道你想干什么判断pchunter的话，在内存里搜索他的pdb路径就行了，有很明显的"ViewDriver"字符串特征。至于别的驱动，你都不说是哪个驱动，你让我们怎么帮你？？最后于 2018-7-9 09:11 被hzqst编辑，原因： 2018-7-9 09:11 1
ffashi 雪币： 772 活跃值： (992) 能力值： ( LV2，RANK：10 ) 在线值：发帖 75 回帖 253 粉丝 9 关注私信	ffashi 12 楼 hzqst ffashi 我有个想法，能否枚举出所有驱动。然后模仿驱动通讯码进行通讯，成功则执行卸载。或者干啥。这个通讯码，我们可以通过hoo ... 比喻说【360netmon.sys】这个驱动路径【C:\Windows\system32\DRIVERS\360netmon.sys】驱动尺寸【0x0005b00】服务名【360netmon】假设这个驱动加载的路径是自定义随机，名称自定义随机，服务名也自定义随机，只要他没重新编译，他的尺寸和自身文件指纹或者内存crc应该是不会变的。我现在就遇到这么个驱动，我的想法是在他没重新编译驱动文件的前提下获取特征，并且找到他，即使他重新编译，我也可以再次得到特征后，找他、 2018-7-12 15:54 0
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 569 关注私信	hzqst 3 13 楼 ffashi 比喻说【360netmon.sys】这个驱动路径【C:\Windows\system32\DRIVERS\360netmon.sys】驱动尺寸【0x0005b00】服务名【360netm ... 提取特征码，特征就完事了 2018-7-12 16:41 0
那么骄傲丶雪币： 296 活跃值： (471) 能力值： ( LV3，RANK：30 ) 在线值：发帖 0 回帖 7 粉丝 1 关注私信	那么骄傲丶 14 楼 ffashi 之前试过，服务名这个靠谱性稍微强一点点。通过驱动尺寸，文件名，是完全不靠谱的。有朋友说什么对象名称。完全不懂，这是什么名字字符串吗？你朋友说的应该是设备对象名和符号链接吧 2018-7-12 18:17 0
ffashi 雪币： 772 活跃值： (992) 能力值： ( LV2，RANK：10 ) 在线值：发帖 75 回帖 253 粉丝 9 关注私信	ffashi 15 楼那么骄傲丶你朋友说的应该是设备对象名和符号链接吧怎么获取呢，R3调用那些API. 麻烦讲解！ 2018-7-12 20:45 0
ffashi 雪币： 772 活跃值： (992) 能力值： ( LV2，RANK：10 ) 在线值：发帖 75 回帖 253 粉丝 9 关注私信	ffashi 16 楼 hzqst 提取特征码，特征就完事了驱动文件加载完了就连驱动文件都删掉了，和解？ 2018-7-12 20:46 0
那么骄傲丶雪币： 296 活跃值： (471) 能力值： ( LV3，RANK：30 ) 在线值：发帖 0 回帖 7 粉丝 1 关注私信	那么骄傲丶 17 楼 ffashi 怎么获取呢，R3调用那些API. 麻烦讲解！ https://blog.csdn.net/hellokandy/article/details/52505149 搜索引擎输入枚举/遍历 + 符号链接很容易就能搜到 2018-7-13 10:17 0
ffashi 雪币： 772 活跃值： (992) 能力值： ( LV2，RANK：10 ) 在线值：发帖 75 回帖 253 粉丝 9 关注私信	ffashi 18 楼驱动对应的注册表项，如何获取呢？、 2018-7-14 16:19 0
ffashi 雪币： 772 活跃值： (992) 能力值： ( LV2，RANK：10 ) 在线值：发帖 75 回帖 253 粉丝 9 关注私信	ffashi 19 楼 hzqst 提取特征码，特征就完事了已经加载的驱动对应的注册表项怎么查？ 2018-7-16 01:37 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

返回

ffashi

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

//