Rootkitのようなデバイスドライバファイルを回収するツール - やや温め納豆デバイスドライバがカーネルにロードされたタイミングで、そのファイルをバックアップコピーするデバイスドライバを書いてみました(drvcopy.cab)。よければどうぞー。 マルウェアは、往々にしてデバイスドライバを使ってきます。デバイスドライバを動的に生成し、カーネル空間にロードさせます。有名なことですが、一度ロードされたドライバは、ディスク上から削除することができます。そして、デバイスドライバを使うマルウェアは、痕跡を消すためにかなりの割合で、自身が生成したデバイスドライバをディスク上から削除してしまいます。 削除されたドライバはProcess Explorerなどで確認すると一見してわかります。 デバイスドライバのファイルが削除される前に回収するには、デバッガで生成元にアタッチし、CreateServiceをブレークすることでディスク上にある状態で停止させることができます。 ただし、この
