首页>编程与逆向>内核编程>如何从一个内核模块的基址得到模块文件名?
回复
« 返回列表
MuseHero
MuseHero
驱动小牛
驱动小牛
  • 注册日期2005-04-20
  • 最后登录2016-01-09
  • 粉丝0
  • 关注0
  • 积分2分
  • 威望156点
  • 贡献值0点
  • 好评度136点
  • 原创分0分
  • 专家分0分
写私信
阅读:1783回复:11

如何从一个内核模块的基址得到模块文件名?

楼主#
更多 发布于:2007-01-30 22:05
  如:80400000 得到 Ntoskrnl.exe 的名字

请各位牛人指点一下儿,谢谢了~
喜欢0
回复
WQXNETQIQI
WQXNETQIQI
驱动大牛
驱动大牛
  • 注册日期2006-06-12
  • 最后登录2010-10-26
  • 粉丝0
  • 关注0
  • 积分13分
  • 威望1076点
  • 贡献值0点
  • 好评度895点
  • 原创分1分
  • 专家分0分
写私信
沙发#
发布于:2007-01-30 22:06
ZwQuerySystemInformation,搜索匹配之
驱动开发者 呵呵
回复(0) 喜欢(0)
MuseHero
MuseHero
驱动小牛
驱动小牛
  • 注册日期2005-04-20
  • 最后登录2016-01-09
  • 粉丝0
  • 关注0
  • 积分2分
  • 威望156点
  • 贡献值0点
  • 好评度136点
  • 原创分0分
  • 专家分0分
写私信
板凳#
发布于:2007-01-30 22:32
~汗~~老大,偶就是要查隐藏的驱动~ZwQuerySystemInformation查不到~~但内核中又的确有的驱动~还有没有其它办法?不用匹配法的~~
回复(0) 喜欢(0)
WQXNETQIQI
WQXNETQIQI
驱动大牛
驱动大牛
  • 注册日期2006-06-12
  • 最后登录2010-10-26
  • 粉丝0
  • 关注0
  • 积分13分
  • 威望1076点
  • 贡献值0点
  • 好评度895点
  • 原创分1分
  • 专家分0分
写私信
地板#
发布于:2007-01-30 22:54
那就用V大的暴力搜索DriverObject
不过人家完全可以把名字抹了嘛。一个内核模块凭什么要名字?

你是要对付 hook呢 还是要对付dkom呀
驱动开发者 呵呵
回复(0) 喜欢(0)
MuseHero
MuseHero
驱动小牛
驱动小牛
  • 注册日期2005-04-20
  • 最后登录2016-01-09
  • 粉丝0
  • 关注0
  • 积分2分
  • 威望156点
  • 贡献值0点
  • 好评度136点
  • 原创分0分
  • 专家分0分
写私信
地下室#
发布于:2007-01-31 07:53
对付dkom呀~~暴力搜索DriverObject,呵呵,也是一方法啊~~翻翻资料去~~谢谢回复~
回复(0) 喜欢(0)
MuseHero
MuseHero
驱动小牛
驱动小牛
  • 注册日期2005-04-20
  • 最后登录2016-01-09
  • 粉丝0
  • 关注0
  • 积分2分
  • 威望156点
  • 贡献值0点
  • 好评度136点
  • 原创分0分
  • 专家分0分
写私信
5楼#
发布于:2007-01-31 08:26
汗~~没翻到资料~~能不能给个相关资料的链接?
回复(0) 喜欢(0)
gx_kyw
gx_kyw
驱动牛犊
驱动牛犊
  • 注册日期2003-01-23
  • 最后登录2011-04-13
  • 粉丝0
  • 关注0
  • 积分40分
  • 威望7点
  • 贡献值0点
  • 好评度5点
  • 原创分0分
  • 专家分0分
写私信
6楼#
发布于:2007-01-31 09:45
读取 80400000 处的内存 ,分析PE结构, 得到它的ImageName
回复(0) 喜欢(0)
killvxk
killvxk
论坛版主
论坛版主
  • 注册日期2005-10-03
  • 最后登录2014-04-14
  • 粉丝3
  • 关注1
  • 积分1082分
  • 威望2003点
  • 贡献值0点
  • 好评度1693点
  • 原创分2分
  • 专家分0分
写私信
7楼#
发布于:2007-01-31 11:13
PE Header貌似可以不在内存里~嘿嘿
没有战争就没有进步 X3工作组 为您提供最好的军火
回复(0) 喜欢(0)
WQXNETQIQI
WQXNETQIQI
驱动大牛
驱动大牛
  • 注册日期2006-06-12
  • 最后登录2010-10-26
  • 粉丝0
  • 关注0
  • 积分13分
  • 威望1076点
  • 贡献值0点
  • 好评度895点
  • 原创分1分
  • 专家分0分
写私信
8楼#
发布于:2007-01-31 11:46
检测出那里是内核模块就不错了,名字就别想了吧, ]
驱动开发者 呵呵
回复(0) 喜欢(0)
wowocock
wowocock
VIP专家组
VIP专家组
  • 注册日期2002-04-08
  • 最后登录2016-01-09
  • 粉丝16
  • 关注2
  • 积分601分
  • 威望1651点
  • 贡献值1点
  • 好评度1227点
  • 原创分1分
  • 专家分0分
写私信
9楼#
发布于:2007-02-01 09:48
对于只分配一块内存,执行里面代码的东西,如何检测呢??
花开了,然后又会凋零,星星是璀璨的,可那光芒也会消失。在这样 一瞬间,人降生了,笑者,哭着,战斗,伤害,喜悦,悲伤憎恶,爱。一切都只是刹那间的邂逅,而最后都要归入死亡的永眠
回复(0) 喜欢(0)
wangjianfeng
wangjianfeng
驱动小牛
驱动小牛
  • 注册日期2004-05-28
  • 最后登录2013-10-02
  • 粉丝0
  • 关注0
  • 积分1002分
  • 威望263点
  • 贡献值0点
  • 好评度260点
  • 原创分0分
  • 专家分0分
写私信
10楼#
发布于:2007-02-01 15:28
啊,wowocock想的绝,以后作流氓可以这样作了...
回复(0) 喜欢(0)
MuseHero
MuseHero
驱动小牛
驱动小牛
  • 注册日期2005-04-20
  • 最后登录2016-01-09
  • 粉丝0
  • 关注0
  • 积分2分
  • 威望156点
  • 贡献值0点
  • 好评度136点
  • 原创分0分
  • 专家分0分
写私信
11楼#
发布于:2007-02-02 14:05
检测到是一个未知的模块内存倒是可以的,不过,取得是谁开避的内存看来是不大可能了~~呵呵,想别的办法吧~~谢谢各位了~~
回复(0) 喜欢(0)
游客

关于phpwind联系我们问题反馈程序建议

Powered by phpwind v9.0.2 ©2003-2015 phpwind.com 京ICP备05006834号

返回顶部