오늘 RSS를 돌다가 Orange.net(http://0range.net/entry/%EC%88%A8%EC%96%B4%EC%9E%88%EB%8A%94-%EB%93%9C%EB%9D%BC%EC%9D%B4%EB%B2%84-%EC%B0%BE%EB%8A%94-%EB%B0%A9%EB%B2%95)에서 재미있는 글을 발견해서 스크랩해놓습니다.

 드라이버 링크(PsLoadedModuleList)에서 자신을 끊어내버리고 숨어있는 드라이버를 찾아내는 방법에 대한 내용인데요, 드라이버가 존재하는 디렉토리(\\Driver)를 검색해서 찾아내는 방법입니다.



  평소에 드라이버를 숨길 일도, 찾아낼 일도 없어서 잘 모르고 있었는데, 꽤나 기발한 것 같군요. 하지만 ZwQueryDirectoryObject 함수를 후킹하면 좀 효용이 떨어지겠군요. ^^;;;;

 자세한 내용은 http://blog.csdn.net/DryFisHH/archive/2008/02/16/2098545.aspx 에서 보실 수 있습니다. ㅎㅎ
 그럼 좋은 주말 보내세요 ;)

 

+ Recent posts