驱动sys被加载进入物理内存后,section里面的某些内容会被改变??

楼主^#

更多发布于：2008-07-16 12:30

麻烦阿,最近做驱动节操作的东西,发现
驱动被系统加载后,在内存中某些节的某些位置,竟然和sys文件中的不同...why??望大牛指教
废话少说,上图:(以windows自带的tdi.sys做sample)
首先:
用PETools查看tdi.sys的节信息

图片：1.jpg

然后vmware+windbg调试,找到tdi的内存位置

图片：2.jpg

db某一个节出来看看,

图片：3.jpg

这个是uedit打开的tdi.sys文件,同样定位到一样的节:

图片：4.jpg

明显有一些位置的值不同,为什么会出现这种状况呢??
windows加载驱动后,还做了修改么?? why?

weolar 驱动牛犊注册日期2007-05-14 最后登录2012-11-30 粉丝1 关注0 积分48分威望445点贡献值0点好评度2点原创分0分专家分1分加关注写私信	沙发^# 发布于：2008-09-09 18:25 也有可能是自修改的代码？
	回复(0) 喜欢(0)

发帖回复

您需要登录后才可以回帖，登录或者注册