查詢360安全衛(wèi)士有哪些驅(qū)動程序
1、運行autoruns哺壶,切到Drivers頁簽躲撰,查看電腦有哪些驅(qū)動程序精偿,發(fā)現(xiàn)360全衛(wèi)士的Publisher弧圆;在Filter處輸入“Qihu”進行過濾赋兵;共顯示12項。
2搔预、在任一驅(qū)動上毡惜,右鍵選擇Jump to Entry...,跳轉(zhuǎn)到其在注冊表中對應(yīng)的位置斯撮;如“計算機\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BAPIDRV”
3经伙、分析BAPIDRV各鍵值:
Type=1,表示BAPIDRV是設(shè)備驅(qū)動程序勿锅。Start=1帕膜,表示在內(nèi)核初始化過程中,在SERVICE_BOOT_START驅(qū)動程序已初始化之后溢十,它再被加載到內(nèi)存中進行初始化垮刹。ImagePath=system32\DRIVERS\BAPIDRV64.sys,表示驅(qū)動程序文件的物理路徑张弛;如果沒有指定ImgePath的話荒典,I/O管理器在%systemRoot%\System32\Drivers中尋找驅(qū)動程序。ErrorControl=0吞鸭,表示驅(qū)動程序返回的任何錯誤都被忽略寺董、沒有警告被記錄下來或被顯示下來。操作系統(tǒng)中的驅(qū)動或服務(wù)刻剥,對應(yīng)的注冊表位置:“計算機\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services”
驅(qū)動程序在安裝目錄有對應(yīng)物理文件嗎
1遮咖、用everything搜索BAPIDRV,粗略看下有哪些匹配文件造虏;發(fā)現(xiàn)除了drivers目錄就是360自身的安裝路徑御吞;這2者有什么關(guān)系呢?
2漓藕、用hash.exe來對比下這5個文件的md5陶珠,發(fā)現(xiàn)drivers文件跟deepscan\BAPIDRV64_win10.sys文件一樣。
文件名稱: D:\可以刪除\BAPIDRV64.sys --->drivers目錄下的文件
文件大小: 229176 字節(jié)
文件版本: 2.0.0.2021
修改時間: 2020年11月25日, 14:31:28
MD5: D0FD9D59361A08E1152B69D5416EA90E
SHA1: 24EF9281DFF6577732C896DE19998BA8B1CB8991
CRC32: 1A6F62E2
文件名稱: D:\可以刪除\BAPIDRV.sys --->360\360Safe\deepscan
文件大小: 192912 字節(jié)
文件版本: 1.0.0.2021
修改時間: 2020年11月25日, 14:31:28
MD5: EC0E2F503FEE765B5DA79210CC17E243
SHA1: 1CBC4DD9E28577AB9A5ACE2C92D61A7E7C10E69F
CRC32: E97DB775
文件名稱: D:\可以刪除\BAPIDRV_win10.sys --->360\360Safe\deepscan
文件大小: 201544 字節(jié)
文件版本: 1.0.0.2021
修改時間: 2020年11月25日, 14:31:28
MD5: A5FDCECD3977A905F74A8BA31387466E
SHA1: 011DE0425638C994CF1E72A2EE8CB116AA1ABEB0
CRC32: 2BFA7034
文件名稱: D:\可以刪除\BAPIDRV64.sys --->360\360Safe\deepscan
文件大小: 220544 字節(jié)
文件版本: 2.0.0.2021
修改時間: 2020年11月25日, 14:31:28
MD5: CE39EE720237EF45EACBC15BBB8CB61E
SHA1: A66772096ECF299A0BF504EF8F3078630B2F515A
CRC32: DDCF65C2
文件名稱: D:\可以刪除\BAPIDRV64_win10.sys --->360\360Safe\deepscan
文件大小: 229176 字節(jié)
文件版本: 2.0.0.2021
修改時間: 2020年11月25日, 14:31:28
MD5: D0FD9D59361A08E1152B69D5416EA90E
SHA1: 24EF9281DFF6577732C896DE19998BA8B1CB8991
CRC32: 1A6F62E2
3享钞、看不出哪個物理文件調(diào)用了該sys文件揍诽,除非我們知道sys文件的方法名,進而調(diào)用它嫩与。
查詢驅(qū)動是否可用
借助sc服務(wù)控制器來查詢服務(wù)或驅(qū)動的運行狀態(tài)寝姿,如處于running狀態(tài)的BAPIDRV驅(qū)動。
C:\Users\tong>sc query BAPIDRV
SERVICE_NAME: BAPIDRV
TYPE : 1 KERNEL_DRIVER
STATE : 4 RUNNING
(STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
360安全衛(wèi)士有哪些注冊表活動
1划滋、借助process monitor工具來看下安全衛(wèi)士的立即體檢功能操縱了哪些注冊表項;等體檢結(jié)束后埃篓,點擊停止監(jiān)控处坪。
2、保存所有的活動到csv,用excel打開同窘,對Operation列進行篩選玄帕,能看到注冊表相關(guān)的活動有:RegQueryKey, RegQueryKeySecurity, RegCreateKey, RegOpenKey, RegCloseKey, RegDeleteKey, RegQueryValue, RegDeleteValue, RegSetInfoKey, RegSetValue, RegEnumKey, RegEnumValue等。
有哪些文件系統(tǒng)操作
CreateFile, ReadFile, WriteFile, FlushBuffersFile, CloseFile, LockFile, UnlockFileSingle, CreateFileMapping, QueryAttributeTagFile, QueryDirectory, NotifyChangeDirectory, QueryNameInformationFile, QueryNetworkOpenInformationFile, QueryRemoteProtocolInformation, QueryStandardInformationFile, SetBasicInformationFile, QueryBasicInformationFile, SetDispositionInformationEx, SetEndOfInformationFile, SetDispositonInformationFile等想邦。
