爆料任意位置加载驱动
内部资料~现在公开~Zwloaddriver驱动的信息是可以在任意注册表位置的~
ZwLoadDriver时不检查位置,MmLoadXXX之后,会有一个pnpXXX去检查一下名字是否是存在某个神奇位置上如果存在就可以继续到Call XXX运行DriverEntry了,
在Vista或者其他有patchguard签名验证的系统下,在运行DriverEntry前的系列XXX检查里好像有个检查名字是否在某个更神秘的位置上效验,如果在了,就认为这个驱动是XXXXX驱动可以通过patchguard...
无码无真相。。。
不过秘密加载驱动的办法我倒是知道几个。。。:P Tesla.Angela公布下啊 好可怜啊 我的方法被360 上传了样本,被封了 有秘密方法的朋友要注意了,防小人也放君子 EfiMon.sys 君子..........这年头哪还有君子:L
页:
[1]