驱动内存加载
驱动内存加载
知识点
步骤
- 通过
explore.exe定位到文件- 使用
CreateProcess创建进程(CreateUserProcess)
- a. 创建进程开辟一块内存 PEB 内核下需要挂
C0000000- b. 通过文件路径载入exe
- c. 拉伸PE, 解析PE头, 把对应的数据目录存放到内存相关偏移的地址
- d. 修复重定位
- e. IAT 导入表修复
- f. 修复TLS(驱动没有)
- g. 修复延迟导入表(驱动没有, 驱动存在Cookie)
- h. 修复异常表
- i. CALL入口点
