查询360安全卫士有哪些驱动程序
1、运行autoruns,切到Drivers页签,查看电脑有哪些驱动程序,发现360全卫士的Publisher;在Filter处输入“Qihu”进行过滤;共显示12项。
2、在任一驱动上,右键选择Jump to Entry...,跳转到其在注册表中对应的位置;如“计算机\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BAPIDRV”
3、分析BAPIDRV各键值:
Type=1,表示BAPIDRV是设备驱动程序。Start=1,表示在内核初始化过程中,在SERVICE_BOOT_START驱动程序已初始化之后,它再被加载到内存中进行初始化。ImagePath=system32\DRIVERS\BAPIDRV64.sys,表示驱动程序文件的物理路径;如果没有指定ImgePath的话,I/O管理器在%systemRoot%\System32\Drivers中寻找驱动程序。ErrorControl=0,表示驱动程序返回的任何错误都被忽略、没有警告被记录下来或被显示下来。操作系统中的驱动或服务,对应的注册表位置:“计算机\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services”
驱动程序在安装目录有对应物理文件吗
1、用everything搜索BAPIDRV,粗略看下有哪些匹配文件;发现除了drivers目录就是360自身的安装路径;这2者有什么关系呢?
2、用hash.exe来对比下这5个文件的md5,发现drivers文件跟deepscan\BAPIDRV64_win10.sys文件一样。
文件名称: D:\可以删除\BAPIDRV64.sys --->drivers目录下的文件
文件大小: 229176 字节
文件版本: 2.0.0.2021
修改时间: 2020年11月25日, 14:31:28
MD5: D0FD9D59361A08E1152B69D5416EA90E
SHA1: 24EF9281DFF6577732C896DE19998BA8B1CB8991
CRC32: 1A6F62E2
文件名称: D:\可以删除\BAPIDRV.sys --->360\360Safe\deepscan
文件大小: 192912 字节
文件版本: 1.0.0.2021
修改时间: 2020年11月25日, 14:31:28
MD5: EC0E2F503FEE765B5DA79210CC17E243
SHA1: 1CBC4DD9E28577AB9A5ACE2C92D61A7E7C10E69F
CRC32: E97DB775
文件名称: D:\可以删除\BAPIDRV_win10.sys --->360\360Safe\deepscan
文件大小: 201544 字节
文件版本: 1.0.0.2021
修改时间: 2020年11月25日, 14:31:28
MD5: A5FDCECD3977A905F74A8BA31387466E
SHA1: 011DE0425638C994CF1E72A2EE8CB116AA1ABEB0
CRC32: 2BFA7034
文件名称: D:\可以删除\BAPIDRV64.sys --->360\360Safe\deepscan
文件大小: 220544 字节
文件版本: 2.0.0.2021
修改时间: 2020年11月25日, 14:31:28
MD5: CE39EE720237EF45EACBC15BBB8CB61E
SHA1: A66772096ECF299A0BF504EF8F3078630B2F515A
CRC32: DDCF65C2
文件名称: D:\可以删除\BAPIDRV64_win10.sys --->360\360Safe\deepscan
文件大小: 229176 字节
文件版本: 2.0.0.2021
修改时间: 2020年11月25日, 14:31:28
MD5: D0FD9D59361A08E1152B69D5416EA90E
SHA1: 24EF9281DFF6577732C896DE19998BA8B1CB8991
CRC32: 1A6F62E2
3、看不出哪个物理文件调用了该sys文件,除非我们知道sys文件的方法名,进而调用它。
查询驱动是否可用
借助sc服务控制器来查询服务或驱动的运行状态,如处于running状态的BAPIDRV驱动。
C:\Users\tong>sc query BAPIDRV
SERVICE_NAME: BAPIDRV
TYPE : 1 KERNEL_DRIVER
STATE : 4 RUNNING
(STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
360安全卫士有哪些注册表活动
1、借助process monitor工具来看下安全卫士的立即体检功能操纵了哪些注册表项;等体检结束后,点击停止监控。
2、保存所有的活动到csv,用excel打开,对Operation列进行筛选,能看到注册表相关的活动有:RegQueryKey, RegQueryKeySecurity, RegCreateKey, RegOpenKey, RegCloseKey, RegDeleteKey, RegQueryValue, RegDeleteValue, RegSetInfoKey, RegSetValue, RegEnumKey, RegEnumValue等。
有哪些文件系统操作
CreateFile, ReadFile, WriteFile, FlushBuffersFile, CloseFile, LockFile, UnlockFileSingle, CreateFileMapping, QueryAttributeTagFile, QueryDirectory, NotifyChangeDirectory, QueryNameInformationFile, QueryNetworkOpenInformationFile, QueryRemoteProtocolInformation, QueryStandardInformationFile, SetBasicInformationFile, QueryBasicInformationFile, SetDispositionInformationEx, SetEndOfInformationFile, SetDispositonInformationFile等。
