是否可以在不直接接触文件系统的情况下从内存加载系统驱动程序?
Is it posible to load a system driver from memory without it touching the filesystem directly?
是否可以从内存中加载已签名的 windows 驱动程序而无需文件接触磁盘?如果可能的话,实现起来是否微不足道或是否有任何障碍需要克服。澄清一下,驱动程序可能在某个时候存在于磁盘上,但处于编码状态。
例如,我知道可以从内存中解码有效负载并将其注入另一个 运行 进程,但从技术上讲这是一个 Windows "Feature" 我不是确定当你将东西加载到内核时事情是否那么简单。
如果可以的话,资源加分。我的所有搜索结果都是人们互相称呼对方是白痴和恶意软件作者,而没有真正了解它是否在技术上 possible/feasable。
我的用例是 md5sum 检测,因为要将驱动程序加载到 64 位 windows 系统,它们必须经过签名,因此哈希将是不可变的。如果您可以从内存加载驱动程序,那么监视文件系统将不足以满足我的需求。
不,驱动程序必须在服务管理器中有一个条目才能指向某个 bin 文件。
这是 Service registry
的一部分
我知道 windbg 能够替换驱动程序的映像,但它来自使用 map files
的内核调试器
是否可以从内存中加载已签名的 windows 驱动程序而无需文件接触磁盘?如果可能的话,实现起来是否微不足道或是否有任何障碍需要克服。澄清一下,驱动程序可能在某个时候存在于磁盘上,但处于编码状态。
例如,我知道可以从内存中解码有效负载并将其注入另一个 运行 进程,但从技术上讲这是一个 Windows "Feature" 我不是确定当你将东西加载到内核时事情是否那么简单。
如果可以的话,资源加分。我的所有搜索结果都是人们互相称呼对方是白痴和恶意软件作者,而没有真正了解它是否在技术上 possible/feasable。
我的用例是 md5sum 检测,因为要将驱动程序加载到 64 位 windows 系统,它们必须经过签名,因此哈希将是不可变的。如果您可以从内存加载驱动程序,那么监视文件系统将不足以满足我的需求。
不,驱动程序必须在服务管理器中有一个条目才能指向某个 bin 文件。 这是 Service registry
的一部分我知道 windbg 能够替换驱动程序的映像,但它来自使用 map files
的内核调试器