如何用Procexp发现系统加载的可疑驱动项(图)

本人用使用Procexp已经有很长时间了，自认为对其的使用比较精通，今天看了Mark的BLOG的“神秘的驱动”（http://www.sysinternals.com/blog/2006/03/case-of-mysterious-driver.html）一文，感觉到自己使用Procexp还是不到位。Procexp还有查看当前操作系统加载了那些驱动的功能，此功能对Rookit级木马的检测方面很有帮助。
现在部分木马采用了Rookit的技术，我在“RootKit木马的亲密接触”（http://forum.ikaka.com/topic.asp?board=28&artid=7538008）已有所描述，也就说木马采用驱动技术，对付这样的木马发现其驱动程序是关键。对于一般系统驱动启动项，我们可以用Autoruns查看，但它只能查看一些静态加载的驱动，它的实现原理是通过注册表驱动项的键值来检测启动项，对于动态加载的驱动它是看不到的。

另一个重量级工具IceSword有一个查看SSDT（系统服务描述表）的功能，即可以查看那些驱动程序是否替换了系统服务表中的系统内核调用，但对于那些不替换的驱动它是不会显示的。

下面介绍一下用Procexp查看系统加载的驱动的方法。
1）启动procexp
2）在菜单栏选择View->Show Lower Pane

[1] [2] 下一页