Kntlist
Windows用のツールになりますが、カーネルオブジェクトをダンプすることができる?ツールが公開されています。(ライセンスに注意のこと)
作者は forensic acquisition utilities の George 氏です。まだベータ段階のためか、VMware 環境で -o と --localwrt 付けて実行するとアプリケーションエラーが発生するようです。
実はこのツールを使うことで DX32HHEC.SYS の存在をオンラインで検知できないかなぁ〜と考えていたのですがテストできず(泣)
もし BackDoor-CHR に感染した環境をお持ちのかたは、ぜひ試して結果を教えてください(笑)