除了反汇编 IopLoadDriver 之外,是否有更简单的方法来中断 Rootkit 驱动程序加载?

逆向工程 恶意软件 风袋 核心
2021-07-01 20:22:50

我知道DriverEntry在加载 rootkit 驱动程序时中断它的唯一方法是反汇编nt!IopLoadDriver并在其中找到一个间接调用并中断它。rootkitDriverName!DriverEntry由于某种原因,设置断点也不起作用。

有没有更简单的方法来破解 rootkit 驱动程序入口?为什么不起作用rootkitDriverName!DriverEntry

1个回答

尝试在模块加载时启用中断:

sxe ld rootkitDriverName

另见https://reverseengineering.stackexchange.com/a/2638/60

其它你可能感兴趣的问题
上一篇无法修改radare2 中的字符串(.rodata 部分) 下一篇uintX_n(在 IDA Pro 中使用)和 unitX_t 类型有什么区别?