【文章标题】: 驱动加载监控
【文章作者】: Root
【作者邮箱】: cppcoffee@gmail.com
【下载地址】: 附件
【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
属于菜鸟作品,大牛请无视。
由于某些恶意软件将驱动加载后为了避免留下痕迹,就将驱动文件删除.这个工具是用来复制将被删除的驱动文件以备用分析源码所用.
流程如下:
SYS模块
应用程序
缺陷:只能监控正规驱动加载,如果用其他渠道就拦截不到了。
--------------------------------------------------------------------------------
2011年01月09日 12:47:01
- 标 题:驱动加载监控工具
- 作 者:cppcoffee
- 时 间:2011-01-09 12:53:31
- 链 接:http://bbs.pediy.com/showthread.php?t=127845