有没有办法枚举Windows中存在的所有_DRIVER_OBJECT? volatility(使用driverscan选项)执行此操作但它使用物理转储并扫描标记内存。还有其他办法吗?我正在寻找解决方案,我可以编写内核驱动程序来获取此信息。
使用_LDR_DATA_TABLE_ENTRY,我可以获得所有条目的大小,基数和名称。但是IRP处理程序信息在_DRIVER_OBJECT中,我不知道如何从_LDR_DATA_TABLE_ENTRY到达那里。
_DRIVER_OBJECT指向_LDR_DATA_TABLE_ENTRY,但无法返回_DRIVER_OBJECT。