0
談論Windows XP。 Comodo Killswitch在系統服務部分顯示一個Boot Start驅動程序,其中有一個隨機的六個字母作爲名稱(每次重新啓動(可疑)時總是有6個字母)。 Comodo Autorun Analyzer未顯示此驅動程序。 Sysinternals Autoruns沒有顯示這個驅動程序。 Msconfig未顯示此驅動程序。這是可疑的。我試過的任何防病毒和反rootkit軟件都沒有發現任何惡意軟件。在註冊表中有這些名稱的痕跡,但沒有創建這些註冊表項的痕跡。 Comodo Killswitch從不顯示它們的二進制路徑,並且當我嘗試啓用加載模塊選項卡啓用Killswitch時,這些驅動程序不會顯示在系統選項卡(可疑)的服務部分。我設法創建了內存轉儲文件memory.dmp,但找不到打開和讀取它的方法。如何在Windows XP中找到使用隨機名稱創建啓動啓動驅動程序的源代碼?
如何找到這些註冊表項的來源,系統所在的組件位於部署此可疑驅動程序的位置?
更新:所以,我使用進程監視器,並根據那裏的痕跡,似乎在這個避免可疑的引導啓動驅動程序/服務的註冊表項是由services.exe。可能,services.exe是由某些軟件或惡意軟件給出的這些說明。我想知道如何找到該軟件的路徑,負責由services.exe創建的註冊表項。
如果可以,將debugger -_windbg_附加到機器上,並用'lm'命令檢查加載的驅動程序。 – Rohan
謝謝。我GOOGLE了它。請推薦一個頁面(url),我可以在這裏找到關於如何做到這一點的分步說明。 – viDim