Узнать путь до драйвера, зная адрес внутри драйвера.

Тема в разделе "WASM.WIN32", создана пользователем drmist, 3 авг 2006.

  1. drmist

    drmist New Member

    Публикаций:
    0
    Регистрация:
    31 май 2005
    Сообщения:
    112
    Можно ли получить имя драйвера (а желательно - полный путь до него) зная адрес, принадлежащий этому драйверу?
    Ситуация такая - накодил прогу, которая выводит имена функций, перехваченных путем модификации SDT (спасибо 90210 за его FindKiServiceTable()), адрес настоящего обработчика и поддельного, а также imm32. Хотелось бы также получать имена драйверов, осуществляющих перехват, чтобы отделить хуки ZoneAlarm'а от троянов. Прога (с сурсами) - кому интересно - в аттаче.
    Утилита консольная, узается так:
    load
    getdqs
    ktable
    utable
    unload
    exit
     
  2. cresta

    cresta Active Member

    Публикаций:
    0
    Регистрация:
    13 июн 2004
    Сообщения:
    2.257
    ZwQuerySystemInformation с классом SystemModuleInformation возвращает список системных модулей с адресами, по которым они загружены.
     
  3. khv_test

    khv_test New Member

    Публикаций:
    0
    Регистрация:
    30 июн 2004
    Сообщения:
    135
    По полным путям процесса вот
    h++p://www.ntkernel.com/forum/viewtopic.php?t=52&highlight=sectionobject
    h++p://www.ntkernel.com/forum/viewtopic.php?t=359&sid=c5ac16c05b166056313260dd673abc81
    h++p://www.osronline.com/showThread.cfm?link=75806

    может поможет...
     
  4. Ms Rem

    Ms Rem New Member

    Публикаций:
    0
    Регистрация:
    17 апр 2005
    Сообщения:
    1.057
    Адрес:
    С планеты "Земля"
    drmist
    Такая утилита нафиг никому не нужна, так как подобных ей очень много.
     
  5. drmist

    drmist New Member

    Публикаций:
    0
    Регистрация:
    31 май 2005
    Сообщения:
    112
    Всем спасибо, делается действительно через ZwQuerySystemInformation.