如何找到在Windows XP中创建具有随机名称的启动启动驱动程序的源代码?
谈论WindowsXP。Comodo Killswitch在“系统服务”部分显示了一个引导启动驱动程序,该驱动程序的名称随机包含六个字母(每次重新启动时都是新的(可疑的),始终是六个字母)。Comodo自动运行分析器未显示此驱动程序。系统内部自动运行未显示此驱动程序。Msconfig未显示此驱动程序。这是可疑的。我试过的任何防病毒和防rootkit软件都没有发现任何恶意软件。注册表中有这些名称的痕迹,但没有创建这些注册表项的痕迹。Comodo Killswitch从不显示其二进制路径,当我尝试在启用加载模块选项卡的情况下启动Killswitch时,这些驱动程序不会显示在系统选项卡的服务部分(可疑)。我设法创建了一个内存转储文件memory.dmp,但找不到打开和读取它的方法 如何找到这些注册表项的来源,系统中部署此可疑驱动程序的组件的位置如何找到在Windows XP中创建具有随机名称的启动启动驱动程序的源代码?,windows,driver,root,boot,rootkit,Windows,Driver,Root,Boot,Rootkit,谈论WindowsXP。Comodo Killswitch在“系统服务”部分显示了一个引导启动驱动程序,该驱动程序的名称随机包含六个字母(每次重新启动时都是新的(可疑的),始终是六个字母)。Comodo自动运行分析器未显示此驱动程序。系统内部自动运行未显示此驱动程序。Msconfig未显示此驱动程序。这是可疑的。我试过的任何防病毒和防rootkit软件都没有发现任何恶意软件。注册表中有这些名称的痕迹,但没有创建这些注册表项的痕迹。Comodo Killswitch从不显示其二进制路径,当我尝试在
更新:所以,我使用了Process Monitor,根据那里的跟踪,似乎注册表中这个可疑的引导启动驱动程序/服务的条目是由services.exe创建的。可能是某些软件或恶意软件向services.exe发出了这些指令。我想知道如何找到软件的路径,该路径负责services.exe创建的注册表项。为了找到源代码,我更改了Comodo安全设置,以便services.exe必须请求我的许可。services.exe要求在启动Comodo Killswitch后创建这些注册表项。services.exe还要求创建包含Comodo Killswitch驱动程序路径的注册表项。如果可以,请将debugger-windbg连接到计算机,并使用
lm