阅读:1783回复:11
如何从一个内核模块的基址得到模块文件名?
如:80400000 得到 Ntoskrnl.exe 的名字
请各位牛人指点一下儿,谢谢了~ |
|
沙发#
发布于:2007-01-30 22:06
ZwQuerySystemInformation,搜索匹配之
|
|
|
板凳#
发布于:2007-01-30 22:32
~汗~~老大,偶就是要查隐藏的驱动~ZwQuerySystemInformation查不到~~但内核中又的确有的驱动~还有没有其它办法?不用匹配法的~~
|
|
地板#
发布于:2007-01-30 22:54
那就用V大的暴力搜索DriverObject
不过人家完全可以把名字抹了嘛。一个内核模块凭什么要名字? 你是要对付 hook呢 还是要对付dkom呀 |
|
|
地下室#
发布于:2007-01-31 07:53
对付dkom呀~~暴力搜索DriverObject,呵呵,也是一方法啊~~翻翻资料去~~谢谢回复~
|
|
5楼#
发布于:2007-01-31 08:26
汗~~没翻到资料~~能不能给个相关资料的链接?
|
|
6楼#
发布于:2007-01-31 09:45
读取 80400000 处的内存 ,分析PE结构, 得到它的ImageName
|
|
7楼#
发布于:2007-01-31 11:13
PE Header貌似可以不在内存里~嘿嘿
|
|
|
8楼#
发布于:2007-01-31 11:46
检测出那里是内核模块就不错了,名字就别想了吧, ]
|
|
|
9楼#
发布于:2007-02-01 09:48
对于只分配一块内存,执行里面代码的东西,如何检测呢??
|
|
|
驱动小牛
|
10楼#
发布于:2007-02-01 15:28
啊,wowocock想的绝,以后作流氓可以这样作了...
|
11楼#
发布于:2007-02-02 14:05
检测到是一个未知的模块内存倒是可以的,不过,取得是谁开避的内存看来是不大可能了~~呵呵,想别的办法吧~~谢谢各位了~~
|
|