设备驱动程序发现

对手可能会尝试枚举受害者主机上的本地设备驱动程序。有关设备驱动程序的信息可能会揭示各种洞察，塑造后续行为，例如主机的功能/用途、存在的安全工具（即安全软件发现）或其他防御（例如，虚拟化/沙箱规避），以及潜在的可利用漏洞（例如，特权提升利用）。 许多操作系统实用程序可能提供有关本地设备驱动程序的信息，例如Windows上的driverquery.exe和EnumDeviceDrivers() API函数。(引用: Microsoft Driverquery)(引用: Microsoft EnumDeviceDrivers) 有关设备驱动程序的信息（以及相关服务，即系统服务发现）也可能在注册表中可用。(引用: Microsoft Registry Drivers) 在Linux/macOS上，设备驱动程序（以内核模块的形式）可能在/dev中可见，或使用lsmod和modinfo等实用程序。(引用: Linux Kernel Programming)(引用: lsmod man)(引用: modinfo man)