都是PE结构,多了个INIT区段,实际上查看内核ntoskrnl.exe,会发现多了更多区段,比如PAGE,等等,是让代码放在分页区段还是放在物理内存,或是执行完就卸载(INIT)。于是你会知道,用任何编译器实际上都可以编译驱动,你拿汇编器也可以直接编译出驱动。甚至可以预想,攻击内核其实也不必太费周折。
本文共 202 字,大约阅读时间需要 1 分钟。
都是PE结构,多了个INIT区段,实际上查看内核ntoskrnl.exe,会发现多了更多区段,比如PAGE,等等,是让代码放在分页区段还是放在物理内存,或是执行完就卸载(INIT)。于是你会知道,用任何编译器实际上都可以编译驱动,你拿汇编器也可以直接编译出驱动。甚至可以预想,攻击内核其实也不必太费周折。
转载于:https://my.oschina.net/u/1777508/blog/1931869