问题描述
我试图在内核模式下找到驱动程序对象的基本模块地址,它是一个恶意的minifilter驱动程序,问题是驱动程序入口和主要功能地址似乎是假的(全为0),我试图查看一下使用DT命令和!drvobj 2命令使用DRIVER_OBJECT结构,但是没有一个显示该驱动程序对象代表的模块实际加载的位置? lm命令也没有显示,如果我只能访问其驱动程序对象,如何找到驱动程序的基本模块地址?
为什么_DRIVER_OBJECT结构中没有显示驱动程序基本模块地址的条目?
dt命令的输出:
kd> dt _DRIVER_OBJECT 86b51448
hal!_DRIVER_OBJECT
+0x000 Type : 0n4
+0x002 Size : 0n168
+0x004 DeviceObject : (null)
+0x008 Flags : 0x12
+0x00c DriverStart : (null)
+0x010 DriverSize : 0
+0x014 DriverSection : (null)
+0x018 DriverExtension : 0x86b514f0 _DRIVER_EXTENSION
+0x01c DriverName : _UNICODE_STRING "\Driver\dumpx"
+0x024 HardwareDatabase : 0x82dad250 _UNICODE_STRING "\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\SYstem"
+0x028 FastIodispatch : (null)
+0x02c DriverInit : (null)
+0x030 DriverStartIo : (null)
+0x034 DriverUnload : (null)
+0x038 MajorFunction : [28] 0x880b69e0 long <Unloaded_crashdmp.sys>+19e0
解决方法
暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!
如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。
小编邮箱:dio#foxmail.com (将#修改为@)