测一测K+拦截驱动加载

宵河

样本：http://bbs.kafan.cn/thread-1370880-1-1.html

前些天没有空。
今天工作之余，找了一些有驱动加载操作的样本测了一下K+3.0

1.通过创建服务，来加载运行驱动。


2.通过直接加载驱动的拦截。这个应该是看驱动的文件状态是什么来拦截。



这个压缩包内的其他样本都有加载驱动的行为，K+3.0也都有防住，我就没有截图了，太麻烦

从我找的这些样本上来看，K+3.0对加载驱动都有防御。不知道其他饭友说不行是什么方法，也不说出来，只说能过K+3.0。

wowocock

驱动加载防御是主防的基本功，自然是应该能防止常规的加载驱动的。白利用是个无限可利用的0DAY ，嘿嘿。

yege0201

测试辛苦~

对抗测试很好~能够找出杀软的不足~

PS：如果说过某某的主防~一定要拿出绕过的全部过程信息~可以不公开工具~但是过程截图或者视频一定要有才能让人心服口服~

青春虎

难道是说过64位的？

yege0201

wowocock 发表于 2012-9-11 15:54
驱动加载防御是主防的基本功，自然是应该能防止常规的加载驱动的。白利用是个无限可利用的0DAY ，嘿嘿。

大大好~刚才上网查了查“白利用”的资料~大概意思是说“找到某已签名的驱动->进行本地提权->可执行任意代码”~是这个意思吗~

还请大大多多科普一下~

wowocock 发表于 2012-9-11 15:54
驱动加载防御是主防的基本功，自然是应该能防止常规的加载驱动的。白利用是个无限可利用的0DAY ，嘿嘿。

有东西就拿出来呗。。。漏洞防驱动  理论上来说是可以过一切杀软的。
说到底就是有样本有真相。。。不要说虚的。、、、

qwe12301

原来wowocock说的是白利用可能导致驱动加载放行啊，这块一直有在持续性的开发和加强啊。那和直接驱动加载拦截也不是一回事啊。

宵河

青春虎 发表于 2012-9-11 15:58
难道是说过64位的？

64位下驱动加载系统定死了，没有数字签名的驱动是不给加载的。

qwe12301

wowocock 发表于 2012-9-11 15:54
驱动加载防御是主防的基本功，自然是应该能防止常规的加载驱动的。白利用是个无限可利用的0DAY ，嘿嘿。

希望大牛能提供一下具体的信息或演示。可以在私下聊一聊啊 ：）
如果此举能帮助更多用户、保护计算机安全，那是非常大的功劳了。

BootMgr

qwe12301 发表于 2012-9-11 16:09
原来wowocock说的是白利用可能导致驱动加载放行啊，这块一直有在持续性的开发和加强啊。那和直接驱动加载拦 ...

K+3.0 的直接加载驱动拦截也能被轻易绕过的

根本就用不着什么白利用 ，根本就用不着什么奇技淫巧加载驱动什么的

直接一个LoadDriver过去，就拦截不住了啊。