[组图]如何用Procexp发现系统加载的可疑驱动项(图)本人用使用Procexp已经有很长时间了,自认为对其的使用比较精通,今天看了Mark的BLOG的“神秘的驱动”(http://www.sysinternals.com/blog/2006/03/case-of-mysterious-driver.html)一文,感觉到自己使用Procexp还是不到位。Procexp还有查看当前操作系统加载了那些驱动的功能,此功能对Rookit级木马的检测方面很有帮助。
现在部分木马采用了Rookit的技术,我在“RootKit木马的亲密接触”(http://forum.ikaka.com/topic.asp?board=28&artid=7538008)已有所描述,也就说木马采用驱动技术,对付这样的木马发现其驱动程序是关键。对于一般系统驱动启动项,我们可以用Autoruns查看,但它只能查看一些静态加载的驱动,它的实现原理是通过注册表驱动项的键值来检测启动项,对于动态加载的驱动它是看不到的。
|
|
另一个重量级工具IceSword有一个查看SSDT(系统服务描述表)的功能,即可以查看那些驱动程序是否替换了系统服务表中的系统内核调用,但对于那些不替换的驱动它是不会显示的。
|
|
下面介绍一下用Procexp查看系统加载的驱动的方法。
1)启动procexp
2)在菜单栏选择View->Show Lower Pane
| Vista+谷歌拼音输入法重现输入法 | 04-06 | |
| 45种可以拿到Webshell的技巧 | 04-02 | |
| 0起步接触黑客--实用价值相当高 | 04-02 | |
| 普通文件的欺骗手法 | 03-21 | |
| 黑客技术-ARP欺骗 | 03-19 | |
| 跨站Script攻击和防范 | 03-19 | |
| 超级兔子+WinRAR轻松破解收费加密 | 03-16 | |
| 浏览器执行exe文件的探讨 | 03-15 | |
| 菜鸟"搜"大量Web Shell的思路 | 03-14 | |
| 轻松录制在线网络电视的方法 | 03-14 | |
| 突破单位网管封杀QQ、MSN 端口的 | 03-14 | |
| 菜鸟找漏洞—渗透网站的“反思” | 02-06 | |
您现在的位置: 
