Как найти EntryPoint драйвера, если хидер битый?

Нужно найти энтри драйвера при условии, что к файлу обращаться нельзя, а заголовок в памяти битый

Вопрос: как?

 

Аж самому стало интересно почитать предложения

 

кривой вопрос
Что значит к файлу обращаться нельзя? А к дампу можно? А проследить момент
до того как заголовок стал испорчен можно?

 

если уже в памяти то кроме как по конкретной сигнатуре в DriverEntry никак

для того его таким и делают

 

KLDR_DATA_TABLE_ENTRY.EntryPoint

 

Clerk
)
скорее всего имеется ввиду случай, когда вытерто и это

 

DRIVER_OBJECT:riverEntry

 

может только pe имелся ввиду, тогда извиняюсь
но врядли кто-то будет тереть pe и забудет все остальное

 

Ну если вопрос в том, что трут все, тогда логичный ответ - никак

 

Нужно взглянуть на драйвер(не на дамп, ибо импорт с пустого места не получится взять, если он есть). Если дров криптован/самомодифицируется ничего не получится узнать, следует отлаживать загрузку.

 

Clerk
А можно подробнее про эту структуру? Как получить к ней доступ? Вбил в гугл - ссылок почти никаких

 

Код (Text):

1. typedef struct _KLDR_DATA_TABLE_ENTRY {
2.     LIST_ENTRY InLoadOrderLinks;
3.     PVOID ExceptionTable;
4.     ULONG ExceptionTableSize;
5.     // ULONG padding on IA64
6.     PVOID GpValue;
7.     PNON_PAGED_DEBUG_INFO NonPagedDebugInfo;
8.     PVOID DllBase;
9.     PVOID EntryPoint;
10.     ULONG SizeOfImage;
11.     UNICODE_STRING FullDllName;
12.     UNICODE_STRING BaseDllName;
13.     ULONG Flags;
14.     USHORT LoadCount;
15.     USHORT __Unused5;
16.     PVOID SectionPointer;
17.     ULONG CheckSum;
18.     // ULONG padding on IA64
19.     PVOID LoadedImports;
20.     PVOID PatchInformation;
21. } KLDR_DATA_TABLE_ENTRY, *PKLDR_DATA_TABLE_ENTRY;

Блок загрузчика с PsLoadedModuleList начинается.

 

а как узнать адрес этой структуры?
PsLoadedModuleList ведь не экспортируется.
KLDR_DATA_TABLE_ENTRY тоже что-то найти не могу в поиске. А Энтри нужно выдернуть оттуда.

 

intel_x128

все там нормально
DRIVER_OBJECT:riverSection

 

intel_x128
Так много что не экспортируется, скачайте отладочные символы.
KLDR_DATA_TABLE_ENTRY это каждый элемент двусвязанного списка, что значит не могу найти ?

 

Clerk
Все )) нашел ))) Респект огромнейший!!! Вы истинный гуру!

 

Какой есчо респект, элементарное понятие. На форуме вроде поиск работал, перед тем как тему создать не мешает его заюзать.)

 

Я не понял, зачем из DriverObject вынимать что-то, отличное от DriverInit поля.
Зачем референсить DriverSection, чтобы потом вынуть тоже самое?

 

Clerk, Great
Респектосы зы то, что понимаете, что я нуб и вопросы простейшие, но все-равно всегда поможете, в отличие от большинства ))))))))