XueTr查找到未知内核模块如何定位这个模块的位置

有时候用XueTr能发现内核模块是未知的，很想知道这个未知的内核模块到底是个什么文件，躲在硬盘的哪个角落？

可以用WINDBG 更改物理内存，这样就会蓝屏，然后再用WINDBG 分析dump文件。

 

先反汇编那个未知模块某个地址处（用XueTr是可以看到未知模块的地址的）的代码，然后u XXXXXXXX，反汇编

用eb XXXXXXXX 12 34 56 78   把XXXXXXXX地址处的数据修改为12 34 56 78，一般会蓝屏的，然后用windbg打开dump文件，

就可以知道是哪个模块了。