记一次内核模块查看 - 初步通过文件厂商判断有无可疑内核模块

最新推荐文章于 2023-03-03 00:27:31 发布
最新推荐文章于 2023-03-03 00:27:31 发布
阅读量650 收藏
点赞数
分类专栏: 安全编程 汇编语言 文章标签: .sys PowerTool 内核模块 文件厂商 手动杀毒
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bcbobo21cn/article/details/104056807
版权

现在怀疑有人远程连接我的电脑;可能是专业厂家提供的服务;该程序可能是一个内核模块;
下面尝试用PowerTool查看一个内核模块有没有什么直接可见的异常;

启动程序以后此工具自己释放了一个驱动,就是这个.sys文件;
然后此工具自己启动了;我记得以前使用这软件,它好像要加载驱动模块,杀软会拦截;
这次没有;估计它俩谈好了;

看内核模块栏;
底部自己提示,可疑驱动:0;
看上去没什么异常;

最容易看的是文件厂商一栏;这个签名是不容易冒的;下面来看一下;
厂商有以下;
微软的,不会有问题;
电脑管家的,不会有问题;
Kingsoft,金山的,不会有问题;
Lenovo,联想的,不会有问题;
Tencent,腾讯的,不会有问题;
Insecure.Com.LLC.,对应的驱动是npcap.sys,这个可能是我自己装了抓包软件的驱动;
Intel的,不会有问题;
REDC,不认识,驱动是risdxc64.sys;
Synaptics Incorporated,不认识,SynTP.sys;
Realtek Semiconductor Corp,这个大概是音频驱动;
SafeNet Inc,不认识;
还有三个的文件厂商是 文件不存在,这是啥玩意,名字都是dump_xxx.sys;

网上查一下;
SafeNet是一个 身份识别和数据保护解决方案 厂商;
没时间了;下回再看;

bcbobo21cn
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
npcap手动安装
wanderkid的博客
04-06 2万+
1 安装包使用7z解压 目录结构如下 │ CheckStatus.bat │ DiagReport-20190406-141023.txt │ DiagReport.bat │ DiagReport.ps1 │ FixInstall.bat │ LICENSE │ npcap.cat │ npcap.inf │ npcap.sys │ npcap_wfp.inf │ npf....
遍历Windows系统的内核模块
baggiowangyu的专栏
12-22 3172
自己做了一个工具需要遍历Windows系统加载的内核模块信息,网上查了一些都是用Zwxxx内核函数来做。后来发现完全没必要...     直接上代码: #include #include #include #include #pragma comment(lib, "psapi") #define ARRAY_SIZE 1024 void EnumKernelModule() {
试验1:观察Windows的内核模块、数据结构和函数
波波诸葛伟
12-30 1250
1,启动WinDBG的本地内核调试(File> Kernel Debug… > Local)。 2,键入.symfix c:\symbols设置符号服务器和用于存储符号文件的本地目录。 3,键入.sympath观察当前的符号路径。其结果应该如下所示: lkd> .sympath Symbol search pathis:SRV*c:\symbols*http://msdl.microsof
Wireshark安装Npcap组件失败的解决方法
热门推荐
weixin_45715117的博客
10-01 1万+
Wireshark安装Npcap-1.00时的注意事项和失败的解决方法 问题简述 Wireshark安装后需要安装npcap,可能出现以下图片显示安装失败。本文首先提供了Npcap安装失败可能的解决方法,之后提供了完全清理Npcap或npcapwinpcap的残留组件。注:本文是在安装Npcap-1.00时创作的。 原因分析以及解决方案 Wireshark安装后需要安装npcap或者winpcap或win10cap,但不能共存,如果想要安装请先查看自己电脑有没有安装其中之一,并卸载。卸载步骤大同小异,
windows内核木马
深度技术安全
02-25 1991
<br />1、Image Patches(映像补丁)<br />修改内核模块比如ntoskrnl.exe,ndis.sys,ntfs.sys等的代码段<br />1.1、函数前导Hook<br />Intel架构下,控制转移指令有三种,分别是2字节的寄存器操作,5字节的相对偏移操作和6字节的内存操作。当然,我们有两种方式来实现这种inline hook:<br />1)用Microsoft的detour库<br />2)用一个长度反汇编引擎,字节构建<br />我自己实现过一个动态HOOK引擎,在我的即将
一个LINUX的模块例子.rar_linux 文件系统_linux内核模块_内核模块
09-21
Linux内核模块是Linux操作系统中一个重要的特性,它允许用户空间程序动态地加载或卸载代码到内核中,以扩展或修改内核的功能。这种机制使得开发者可以在不重新编译整个内核的情况下,实现对特定功能的更新或增强。本...
代码块-一个简单的Linux内核模块c和makefile代码
最新发布
08-07
代码块-一个简单的Linux内核模块c和makefile代码
Linux驱动开发之编写第一个内核模块--Hello World源码
05-25
Linux驱动开发之编写第一个内核模块--Hello World源码, 亲测OK,对应文章链接: https://dingdong.blog.csdn.net/article/details/106329048
编译内核模块出现error: negative width in bit-field
08-03
在Linux系统中,编写内核模块是扩展操作系统功能的一种方式。在尝试编译内核模块时,可能会遇到各种错误,其中“error: negative width in bit-field”是一个与C语言位字段相关的编译错误。位字段(bit-field)是...
Linux编写内核模块新增系统调用遍历进程树--基于Ubuntu20.04.03LTS实现
02-18
实验目标:在Linux内核中增加一个系统调用,并编写对应的linux应用程序。利用该系统调用能够遍历系统当前所有进程的任务描述符,并按进程父子关系将这些描述符所对应的进程id(PID)组织成树形结构显示。 实验环境:...
npcap抓包工具
06-02
Wireshark使用npcap可以抓取本地包
syntp触摸板驱动
03-17
触摸板驱动,联想的可以用
npcap关闭_npcap是什么软件
weixin_39914938的博客
02-19 7850
npcap是一个网络数据包抓包工具,是WinPcap的改进版;它支持NDIS 6技术、“只允许管理员Administrator”访问Npcap、与WinPcap兼容或并存两种模式;支持Windows平台的回环数据包采集和发送。本教程操作环境:windows7系统、Dell G3电脑、Npcap 0.9994。Npcap是一款著名网络数据包抓包工具WinPcap的改进版。本软件致力于采用Micros...
VAX计算机CPU,解决“系统”进程的高CPU使用率
weixin_40008946的博客
07-29 3539
要诊断CPU使用率问题,应使用Windows事件跟踪(ETW)捕获CPU采样数据/配置文件。Windows 10 WPT可以在Windows 8 / Server 2012,Windows 8.1 / Server 2012R2和Windows 10 / Server 2016上使用。如果仍然使用Windows 7,则将SDK / WPT与Build 15086一起使用。(可以取消选择所有其他条目...
卸载抓包工具npcap导致无法联网
biubiuibiu的菜园子
03-03 5381
如何重装windows系统的ip相关协议栈;抓包软件导致的无法联网问题处理。
Nmap网络扫描
子曰小玖的博客
04-02 1644
介绍 参考指南 书 安装指南 下载 更新日志 Zenmap GUI 文件 错误报告 OS检测 宣传 相关项目 在电影中 在新闻里 ...
npcap关闭_Npcap.资料
weixin_29449593的博客
01-17 1618
1、ZC:Npcap 是 WinPcap停更之后的继承者。我尝试了 Win7中发送raw tcp syn,它的代码和 使用WinPcap的基本一致。Npcap Development Tutorial _.html(https://nmap.org/npcap/guide/npcap-tutorial.html)  ZC:教程,里面有 发送raw数据的代码"Sending a single pac...
WinPcap vs Npcap
weixin_30608131的博客
12-06 2408
1、两者都一直有人在维护,而并不是nmap官网介绍的已经停止维护了,https://nmap.org/npcap/vs-winpcap.html 2、Wireshark默认使用WinPcap,他无法抓通过127.0.0.1本地环回地址的包,但是能够识别360建立的热点网卡,所以能够抓手机经过的包;而Npcap正好相反 截止2018年12月6日,两者版本分别是WinPcap4.1.3、Npcap...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值