背景:Windows系统存在易受攻击的内核模式驱动程序,可以将其加载到系统中用于各种目的。加载的内核模式驱动程序会在系统中留下痕迹。例如,视频游戏的反作弊软件会在系统的各个部分寻找易受攻击的驱动程序痕迹,因为它们被用于作弊。反作弊软件使用的逻辑可能(或已经)被反 rootkit 工具或 rootkit 本身使用。
我想知道加载然后卸载驱动程序后留下的痕迹。根据我的研究,我在 Windows NT 内核中发现了这两个地方,卸载的驱动程序会在这些地方留下痕迹:
- PiDDBCacheTable
- MmUnloadedDrivers
(只是让您知道,那些是未记录的数据结构)他们还能在哪里留下痕迹?我是否可以在不自己对 Windows 内核进行逆向工程的情况下学习它?