驱动分析从三环程序中可以直接提取出驱动，我个人比较习惯先分析驱动，因此直接开始 发现没有导入表，膨胀严重且驱动入口加了虚拟化，先选择hook一下常见api跑一下，但是导入表无了，这说明驱动是自己解析内核导出来调用的，不过一般驱动都会自己用MmGetSystemRoutineAddress解析几个导出来用，所以先hook一下跑一下日志来收集证据。 1234567891011121314151617

驱动分析驱动被vmp保护，因此首先需要dump驱动以完成脱壳，对KeRevertToUserAffinityThread下断点后dump驱动程序并分别修复SectionAlignment，SizeOfHeaders，PointerToRawData以便其能被ida识别。 入口点逻辑脱完壳后首先定位 security_init_cookie找真正的驱动入口点 这里直接用特征码 48 8B 05 ??

Welcome to Hexo! This is your very first post. Check documentation for more info. If you get any problems when using Hexo, you can find the answer in troubleshooting or you can ask me on GitHub. Quick