-
-
[求助]如何找出隐藏的驱动
-
发表于:
2018-10-31 13:31
6124
-
RT:如何找出隐藏的驱动?
要找出的这个驱动:
1、已知这个驱动是先正常加载一个驱动,然后这个驱动会申请一段内存,之后加载自身文件到这段内存中,然后卸载自己留下一个没有服务、也没有DriverObject的驱动(他们好像叫做“手动映射驱动程序”
MapDriver
,黑骨工程中就有这个)
2、这个挂在内存中的驱动又使用了IoCreateDriver创建了一次驱动对象,所有的功能都在IoCreateDriver创建的这个对象里实现的
3、目前我所能分析到的,驱动加载后删除了源文件、删除了注册表、我用PCHunter64完全找不到有加载过驱动的痕迹,
大概流程就是
MapDriver->
IoCreateDriver->IoCreateDevice
我应该用什么样的方法才能把这个驱动揪出来?本人才疏学浅,特来讨教。
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)