Re: Получение инфы о драйвере по адресу - Низкоуровневое программирование

Получение инфы о драйвере по адресу

	От:	Quantum1991
	Дата:	15.05.14 07:00
	Оценка:

Привет всем! Возник такой вопрос: как можно получить имя файла драйвера по виртуальному адресу в нём
(есть патченая SSDT, и необходимо выяснить, что за модуль поставил хук)?

Re: Получение инфы о драйвере по адресу

	От:	Quantum1991
	Дата:	15.05.14 07:46
	Оценка:

Уже разобрался, ZwQuerySystemInformation как обычно выручает. Главное, чтобы её саму не хукнули)

Re[2]: Получение инфы о драйвере по адресу

	От:	x64
	Дата:	16.05.14 04:11
	Оценка:

Q>Уже разобрался, ZwQuerySystemInformation как обычно выручает. Главное, чтобы её саму не хукнули

Здесь ещё один способ, если интересно.

Re[3]: Получение инфы о драйвере по адресу

	От:	Аноним
	Дата:	16.05.14 07:22
	Оценка:

Вот это кстати интересно, спасибо

Re[3]: Получение инфы о драйвере по адресу

	От:	eight
	Дата:	01.06.14 23:07
	Оценка:

Здравствуйте, x64, Вы писали:

Q>>Уже разобрался, ZwQuerySystemInformation как обычно выручает. Главное, чтобы её саму не хукнули

x64>Здесь ещё один способ, если интересно.
Смотреть что куда замаплено? Я так в юзер моде находил скрытие из списков в PEB библиотеки, используя только VirtualQueryEx и GetMappedFileName. А вот в ядре мне предстоит такое реализовать.

Переместить
Удалить
Выделить ветку

Пока на собственное сообщение не было ответов, его можно удалить.

Заголовок: