| 摘要 |
a presente invenção se refere a um método para detectar a alteração do driver de um kernel de windows e a um sistema usando informações de módulo do sistema que são as informações inalteráveis do kenel de windows. o método para detectar de um kernel de windows de acordo com a presente invenção inclui uma primeira etapa de ler, por um driver de detecção de alteração, informaçõies sobre um nome e endereços de início e fim de um driver alvo de detecção das informações de módulo de sistema; uma segunda etapaa de extrair uma função que é usada por um drive objeto do driver de alvo de detecção usando o nome do driver de detecção não foi alterado se um endereço da função é um valor entre o endereço de início e o endereço final e determinar se o driver alvo de detecção foi alterado se o endereço da função não é um valor entre o endereço de início e o endereço final. |
