使用可怕的reloadandrun技术后,驱动基本上已经没有DriverObject这种可以枚举的东西,
但是还有PEHeader和MZHeader,DosHeader 这三个东西,其实只要在reload后的DriverEntry中抹掉,添0或者添随机数是你的问题啦啦,另外还有一个特征点就是驱动内部的.pdb字符,这个也是可以XX掉的,此时内存中你已经没有任何特征可言了~~
吼吼~~最后可怕的执行代码搜索问题需要另行解决~~不过基本上就消失了自我~~
在某人的XX上用winhex做了点手脚,这下隐藏的比较好了~呵呵~~
http://www.debugman.com/read.php?tid=1993
看来可进行内存暴力搜索的地方还是很多的.V大还需要进一步的抹啊~~~
搜DriverObject不好,kanxue上有位同学发了个帖子是这样搜的,相当一部分的驱动都没搜出来~
对付datadirectory法还是不行啊~整个填0那个段吧