发现加载和卸载内核模式驱动程序的足迹

Question

背景: Windows系统存在易受攻击的内核模式驱动程序，这些驱动程序可以出于各种目的加载到系统中。加载的内核模式驱动程序在系统中留下跟踪。例如，用于电子游戏的防作弊软件，在系统的各个部分寻找易受攻击的司机跟踪，因为它们被用于作弊。反欺骗软件所使用的逻辑可能(或已经)被反rootkit工具或rootkit本身所使用。

我想知道在加载然后卸载驱动程序之后，跟踪会在哪里留下。根据我的研究，我在Windows内核中发现了这两个地方，卸载的驱动程序会留下痕迹：

1. PiDDBCacheTable
2. MmUnloadedDrivers

(为了让你知道，这些是无文档的数据结构)它们还能在哪里留下痕迹？我是否有可能在没有逆向工程的情况下独自学习Windows内核呢？

Answer 1

据我所知，ExpCovUnloadedDrivers是另一个检测卸载驱动程序的函数。但据我所知，只有使用代码覆盖的驱动程序才会被添加到这个列表中。