4. ntoskrnl wird in Prozessraum gemappt

ntoskrnl wird in Prozessraum gemappt

  • ?

    Hallo, wollte mal fragen, ob es normal ist, dass wenn ein Programm driver ladet, ntoskrnl.exe im Prozessraum gemappt hat? Ich habe hier nämlich ein Programm das ladet nen driver und hat in der Modul Liste ntoskrnl.exe drin stehen.
    Es ladet nen driver aber ruft nicht CreateService auf. Ich denke es ladet ntoskrnl.exe und ladet von dort irgendwie den driver? Oder ist das normal, dass der kernel in den Prozessraum gemappt wird, wenn driver Funktionen verwendet werden?
    Falls nicht, was meint ihr welche Funktionen es aus der exe aufruft um den driver zu laden? Ich weiß, man kann eigentlich nur DLLs mappen. Deshalb bin ich ziemlich verwundert, dass die da im Prozessraum ist. Ist wohl mit CreateFileMapping etc. gemacht. Was meint ihr?

    0
  • ?

    Hi

    Uhh. Wen das nicht Malware ist. 😮

    lowbyte

    0
  • ?

    Hi

    Ja warum wohl ? Die Menschen ...Die Menschen. Einfach zufaul für alles.

    Nichts gegen dich H4Z3

    Lowbyte

    0
Anmelden zum Antworten