通过Procexp如何来查看系统加载的驱动

网吧系统

通过Procexp如何来查看系统加载的驱动

2017-08-22 作者:欣欣点击: 2,371次

　　查看系统加载的驱动事实上是有很多的，不过大家知道通过Procexp来查看系统加载的驱动的方法吗，今天我们5636网吧联盟的网吧系统栏目小编就和大家说说通过Procexp如何来查看系统加载的驱动！
　　首先启动procexp，再在菜单栏选择View->ShowLowerPane，接着就在菜单中选择View->LowerPaneView->ViewDLL或在工具栏中选择“ViewDLL”，再用鼠标选择Systeim进程，则当前系统加载的驱动程序在下面的列表中被列举出。

　　如果查看的是动态加载的驱动，例如Procexp本身的驱动就是动态加载的，原理是首先EXE释放出PROCEXP100.SYS到%systemRoot%\system32\Drivers目录下，动态加载后删除此文件。再举个例子，IceSword之所有可以查看一些Rookit木马进程，也是使用了驱动技术。
　　总之Procexp的查看系统当前加载的驱动程序功能，可以帮助找到可疑驱动程序，发现Rookit级木马的行踪，还是非常有用的，如果还有什么想知道的问题还可以留言一起讨论，当然如果大家有什么好的资料也可以和我们一起分享哦！