Можно ли загрузить подписанный драйвер windows из памяти, при этом файл никогда не касается диска? Если это возможно, это тривиально для достижения или есть какие-либо препятствия для преодоления. Для пояснения, драйвер может существовать на диске в некоторый момент, но в зашифрованном состоянии.
Например, я знаю, что возможно декодировать полезную нагрузку из памяти и вставить ее в другой работающий процесс, но так как это технически это Windows «особенность». Я не уверен, насколько все просто, когда вы загружаете вещи в ядро.
Если это возможно, начисляйте бонусные очки за источники. Все, что мне удалось найти, это то, что люди называют друг друга идиотами и авторами вредоносных программ, не понимая, насколько это технически возможно / выполнимо.
Мой пример использования - обнаружение md5sum, поскольку загрузка драйверов в 64-битную windows систему они должны быть подписаны, и поэтому ха sh будет неизменным. Если вы можете загружать драйверы из памяти, тогда мониторинга файловой системы будет недостаточно для моих нужд.