![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(128, 8%, 22%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3EA%3C/text%3E%3C/svg%3E)
您好 我想詢問
我的預設windows的電腦系統導出記憶體 .mem進行分析
modules指令下發現全部的驅動在記憶體中沒有簽名,但是系統硬碟的.sys都有簽名
疑似懷疑我的系統是處於測試環境中,但是我是正常啟動電腦
另外內核irp的回調發現有多數的匿名驅動 是奇怪的
例如
Offset Driver Name IRP Address Module Symbol
0xbf848ae6da84 IRP_MJ_CREATE 0x300030002d - -
0xbf848ae6da84 IRP_MJ_CREATE_NAMED_PIPE 0x3900630030 - -
0xbf848ae6da84 IRP_MJ_CLOSE 0x3700350066 - -
0xbf848ae6da84 IRP_MJ_READ 0x5c007d0061 -
因此我想詢問這是windwos正常現象 還是有被惡意攻擊的跡象呢 謝謝
我使用的RamCapture64導出的.mem
鎖定的問題。 此問題已從 Microsoft 支援服務社群移轉。 您可以對其是否有幫助進行投票,但無法對問題新增註解或回覆,或進行追蹤。
此回應已自動翻譯。 因此,可能有文法錯誤或奇怪的措辭。
嗨 c zpEX,
感謝您在 Microsoft 社區中發帖
在 Windows 系統上進行記憶體分析真是太好了。關於您的觀察:
讓我知道進展如何,
此致敬意
板凳
Microsoft 版主
此回應已自動翻譯。 因此,可能有文法錯誤或奇怪的措辭。
嗨,c zpEX。
我們注意到您尚未回復我們上次的回復。我們想知道您向我們提出的問題是否仍在進行中。如果是,請回復該線程,以便我們繼續解決您的問題。
謝謝。
板凳
Microsoft 版主
您好 謝謝您的回覆
因為我非相關專業 具體進一步分析我不知道如何下手,因此我提供我目前基於 Volatility3 鑑識工具輸出的txt檔案
可能讓您有更進一步比較全面理解我目前的狀況 謝謝您
https://drive.google.com/drive/folders/1vSYh07A-Hx-5IzjvQNtDl04bGBRTr39Y?usp=drive_link
info.txt
irp.txt
Malfind.txt
module.txt
netscan.txt
svcscan.txt
pslist.txt
此回應已自動翻譯。 因此,可能有文法錯誤或奇怪的措辭。
嗨 c zpEX,
感謝您的回復。
經過檢查,似乎PC一切正常。hardisk 中的.sys是正在運行的 Windows作系統。
如果您懷疑您的 PC 是否可能受到病毒攻擊。我建議您轉到 Windows 安全中心來運行 Windows 安全掃描。
掃描完成後,它會讓您知道是否有其他檔或應用程式可能是惡意的或帶有病毒的。
此致敬意
板凳
Microsoft 版主
好的 謝謝
請問會出現Disabled 會是什麼原因 正常來說不會是Disabled
