|
阅读:1068回复:3
关于FILEMON的系统驱动加载,是这样滴~~~`
FILEMON的系统驱动已经做到FILEMON.EXE文件中了,在运行时释放出来后动态滴加载,加载完毕后驱动文件就被从硬盘上删除了,有2个系统驱动文件:一个VXD滴,一个SYS滴,其实在FILEMON.EXE文件中很容易找到这2个文件,可以直接将他们读出来写到一个文件中去,然后你就可以得到以前FILEMON版本里有的2个系统驱动文件FileMon.vxd和FileMon.sys,这样就可以像加载普通驱动文件一样在机器启动或者其他你需要的时候加载他们了!
如何在FILEMON.EXE中找这2个文件呢?用16进制滴编辑器如ULTRAEDIT、HEXEDIT等软件在FILEMON.EXE中找4D 5A标志,你就能找到这2个文件的开始偏移,然后读出来写到另外一个文件即可! 大体透露一下FILEMON的加载方式吧:FILEMON不在使用服务管理方式来加载,而是直接操作注册表和使用了一个NTDLL.DLL的API:NtLoadDriver来实现滴~~~具体嘛,就不再多说了,大家应该多去自己分析,才能学到和掌握更多的技术! |
|
最新喜欢: TOMG20...
|
|
沙发#
发布于:2004-09-13 11:09
不错,以后可以用来写病毒,嘿嘿......
|
|
|
|
板凳#
发布于:2004-09-13 12:54
用exescope或VC就可直接取得sys文件
用native的ZwSetSystemInformation( SystemLoadAndCallImage,...)连注册表都省了 呵呵 |
|
|
地板#
发布于:2004-09-13 13:19
native的ZwSetSystemInformation( SystemLoadAndCallImage,...)
好象只2K下有效,XP/2003以后都没用了...... |
|
|