首先启动procexp,再在菜单栏选择View->ShowLowerPane,接着就在菜单中选择View->LowerPaneView->ViewDLL或在工具栏中选择“ViewDLL”,再用鼠标选择Systeim进程,则当前系统加载的驱动程序在下面的列表中被列举出。
如果查看的是动态加载的驱动,例如Procexp本身的驱动就是动态加载的,原理是首先EXE释放出PROCEXP100.SYS到%systemRoot%\system32\Drivers目录下,动态加载后删除此文件。再举个例子,IceSword之所有可以查看一些Rookit木马进程,也是使用了驱动技术。
总之Procexp的查看系统当前加载的驱动程序功能,可以帮助找到可疑驱动程序,发现Rookit级木马的行踪,还是非常有用的,如果还有什么想知道的问题还可以留言一起讨论,当然如果大家有什么好的资料也可以和我们一起分享哦!
