背景:Windows系统存在易受攻击的内核模式驱动程序,可以出于各种目的将其加载到系统中。加载的内核模式驱动程序会在系统中留下痕迹。例如,用于视频游戏的反作弊软件会在系统的各个部分查找易受攻击的驱动程序痕迹,因为它们用于作弊。反作弊软件使用的逻辑可能(或已经(被反rootkit工具或rootkit本身使用。
我想知道加载然后卸载驱动程序后痕迹会留下在哪里。根据我的研究,我在Windows NT内核中发现了这两个地方,卸载的驱动程序会留下痕迹:
- PiDDBCacheTable
- 毫米卸载驱动程序
(只是为了让你知道,这些是未记录的数据结构( 他们还能在哪里留下痕迹?我可以在不自己对 Windows 内核进行逆向工程的情况下学习它吗?
据我所知,
ExpCovUnloadedDrivers是检测卸载驱动程序的另一个功能。但据我所知,只有使用代码覆盖率的驱动程序才会添加到此列表中。