드라이버 실행 파일을 어떻게 식별합니까?

주어진 exe 또는 dll 또는 sys 파일이 실제로 드라이버인지 여부를 어떻게 결정합니까? 일반 실행 파일과 차별화되는 것은 무엇입니까?드라이버 실행 파일을 어떻게 식별합니까?

2012-03-23 CodeWarrior

드라이버의 이미지는 항상 IMAGE_SUBSYSTEM_NATIVE (IMAGE_OPTIONAL_HEADER.Subsystem See the Microsoft Portable Executable specification)으로 표시된다.

출처

2012-04-10 12:01:39 mox

정확히 내가 무엇을 찾고 있었습니까. 나는 이것을 투표 할 수 있었으면 좋겠지 만 충분한 대표자가 없다. – CodeWarrior

다음 번에 투표 할 수있다. :-) 고마워. – mox

드라이버가 커널 모드에서 실행되는 동안 일반 실행 파일은 사용자 모드에서 실행됩니다. 일반 실행 파일은 일반적으로 드라이버가 데스크톱과 상호 작용할 수없는 동안 (사용자 인터페이스 없음) 바탕 화면과 상호 작용합니다. 드라이버가 Windows API와 상호 작용할 수없는 동안 일반 실행 파일은 Windows API와 상호 작용합니다. 애플리케이션의 이미지는 일반적으로 나 IMAGE_SUBSYSTEM_WINDOWS_GUI IMAGE_SUBSYSTEM_WINDOWS_CUI으로 표시하면서 -

출처

2012-04-09 19:44:34 mox

@mox - 이것은 디버거/16 진 편집기/다른 PE 헤더 읽기 도구로 파고 들기를 의미합니다. 대신 파일의 종속성 (항상 Dependency Walker)을 볼 수 있으며 파일이 NTOSKRNL.EXE에 종속되어있는 경우 가장 가능성이 높은 드라이버입니다.

출처

2012-04-11 13:09:11 MrBry

사실 주어진 폴더에있는 모든 드라이버 파일을 나열한 도구를 작성하려고했습니다. 내 질문에 좀 더 구체적이어야한다고 생각한다. 어쨌든 고마워. – CodeWarrior

@ CodeWarrior : 불행히도 외부 "도구"를 사용하는 것 이외에 감지하려는 드라이버 (드라이버)와 같은 속성을 감지하는 다른 방법은 없습니다. 내가 사용하고 개발 한 것은 PeStudio (http://www.winitor.com)이다. – mox

@ CodeWarrior : 일찍 입력하십시오! 또한 autocheck.exe 등의 응용 프로그램은 드라이버가 없지만 여전히 "기본"으로 탐지됩니다. 이것은 분류 작업을 쉽지 않습니다! – mox

드라이버 실행 파일을 어떻게 식별합니까?

답변

관련 문제