首页
社区
课程
招聘
[求助]如何把该文件释放的驱动copy出来
发表于: 2008-12-18 13:56 6229

[求助]如何把该文件释放的驱动copy出来

2008-12-18 13:56
6229
该程序是驱动级的键盘记录

运行后释放了一个驱动  getkey.sys

我在内核模块中列出来该驱动的路径
可我用文件查看 却找不到这个文件

请问怎么能把getkey.sys给copy出来呢?
另外  它能过冰刃  是用的什么方法啊??哪位大大给说下

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

上传的附件:
收藏
免费 0
支持
分享
最新回复 (8)
雪    币: 709
活跃值: (2420)
能力值: ( LV12,RANK:1010 )
在线值:
发帖
回帖
粉丝
2
用RKU等dump一份出来.或者用HIPS等它释放驱动的时候拦截下. 或者自己写程序拦截,COPY...
2008-12-18 14:34
0
雪    币: 437
活跃值: (273)
能力值: ( LV12,RANK:240 )
在线值:
发帖
回帖
粉丝
3
直接写BAT看看~~
2008-12-18 15:39
0
雪    币: 200
活跃值: (16)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
winhex直接分割文件,搞定。
2008-12-18 15:43
0
雪    币: 196
活跃值: (135)
能力值: ( LV10,RANK:170 )
在线值:
发帖
回帖
粉丝
5
用OD下断DeleteFileA, F9, 断下后去考出来.
2008-12-18 18:13
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
哪里有那么麻烦
最简单的办法,写个批处理,循环复制
:start
copy xxx d:\
goto start

驱动文件一出现立马逮着
2008-12-18 20:22
0
雪    币: 71
活跃值: (10)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
7
呵呵,测试程序,,值得菜鸟们去R  
就是用自己的IRP_MJ_READ 去替换kbdclass 的历程IRP_MJ_READ (不过偏移值却是0x44?),简单,不过它好像处理的比较巧妙,切换窗口后,记录一次,恢复钩子一次,这样就用工具就检测不到钩子了,并且卸载后还竟然不会蓝屏?疑惑中...

附上原驱动
上传的附件:
2008-12-18 20:56
0
雪    币: 231
活跃值: (45)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
qdk
8
不错,这个方法我用过。
简单好用。
2008-12-18 20:57
0
雪    币: 358
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
谢谢上面的大牛们,学习ing
2008-12-19 09:44
0
游客
登录 | 注册 方可回帖
返回
//