一个正常签名驱动被报毒

显示全部楼层 · 发表于 2010-4-1 14:23:18

　　从属性中看就没有签名的啊，还有即使有签名，也未必代表一定正常。

显示全部楼层 · 发表于 2010-4-1 14:46:58

回复 11# 穿越星空

我也不清楚。。。并且现在仍然能重现。。。

显示全部楼层 · 发表于 2010-4-1 14:55:43

从xuetr的文件管理器中校验签名是未签名的，你是在内核模块中校验的。其中一个可能是此软件在加驱了之后，会拦截其它软件对它进行数字签名检验功能。如果真的如此，那么只能说是非常典型的病毒行为了。

显示全部楼层 · 发表于 2010-4-1 15:45:46

回复 11# 穿越星空
　　我通过“文件”选项卡进行校验，结果是“未通过”，所以感到很奇怪，楼主通过“文件”试试。

显示全部楼层 · 发表于 2010-4-1 15:50:27

上传后未报毒....

显示全部楼层 · 发表于 2010-4-1 15:54:05

回复 13# tawny2008
　　如果是这样的话，那就是XT设计不够严谨吧？感觉XT作者应该不会忽略这点吧？

显示全部楼层 · 发表于 2010-4-1 16:14:10

从xuetr的文件管理器中校验签名是未签名的，你是在内核模块中校验的。其中一个可能是此软件在加驱了之后，会 ...
tawny2008 发表于 2010-4-1 14:55

不。。录像里是内核模块，后来我在文件里面也试过，仍然是通过的。。最新的解释在hipschina有。。还是头一次听说这种说法

http://www.hipschina.com/viewthr ... &extra=#pid7035

通常检查数字签名证书的方式有两种，一种可以根据文件HASH查到证书，一种不行，这样就造成有些文件有数字签名但右键属性中是看不到证书的，比如系统的kernel32.dll，右键看不到证书信息的，但是这个文件确实是有合法证书的。

显示全部楼层 · 发表于 2010-4-1 18:51:59

楼主用sigcheck之类工具再验证下吧.

显示全部楼层 · 发表于 2010-4-1 19:17:33

看了下，文件应该是无毒的，XueTr的验证有签名也是正确的。
在其它系统验证无签名，排除楼主直接使用XueTr内存dump外，就是原驱动因为通过了WHQL测试，安装时会将对应的cat编录文件导入，这样XueTr验证签名自然通过。而其它系统因为未导入cat文件，搜索catroot目录无结果，自然报未通过。

显示全部楼层 · 发表于 2010-4-1 20:28:00

看了下，文件应该是无毒的，XueTr的验证有签名也是正确的。
在其它系统验证无签名，排除楼主直接使用XueTr ...
dl123100 发表于 2010-4-1 19:17

感谢大牛解惑。。。

[可疑文件] 一个正常签名驱动被报毒

评分