官人 啥时候重写下驱动程序啊

wowocock

www-tekeze 发表于 2018-6-25 11:10
明白了，也就是说某些类型的虽然加了钩，但不一定能看到。。。感谢大佬回复！

一般会采用minifilter来写过滤，优点是太简单方便了，任何人花5分钟学习下，就能写驱动了。

驭龙

wowocock 发表于 2018-6-25 11:18
一般会采用minifilter来写过滤，优点是太简单方便了，任何人花5分钟学习下，就能写驱动了。

minifilter好像是现在最通用的方法了吧，当初最早是在微软Forefront上出现的，那时候驱动才50KB左右，真的好简单啊，现在常用的FS filter驱动好像是一百几十KB，四五十条FLT函数，很多软件都差不多啊。


问一下，如果病毒驱动加载顺序在FLTMGR之前加载，是不是就能绕过minifilter的文件监控？

www-tekeze

wowocock 发表于 2018-6-25 10:09
文件挂钩的几种方式
官方支持的2种
1，sfilter类的文件过滤驱动，可以在PCHUNTER的内核-过滤驱动中找 ...

按照大佬指点，在微端口过滤器中看到火绒的了，原来都是minifilter类微过滤。。    还看到SBie沙盘的。

www-tekeze

wowocock 发表于 2018-6-25 11:18
一般会采用minifilter来写过滤，优点是太简单方便了，任何人花5分钟学习下，就能写驱动了。

我敢肯定我花5个小时也不会写，大佬咋办呢。。

wowocock

驭龙 发表于 2018-6-25 11:53
minifilter好像是现在最通用的方法了吧，当初最早是在微软Forefront上出现的，那时候驱动才50KB左右，真 ...

FLTMGR 是MINIFILTER的基石，所有以MINIFILTER为框架的驱动必须在FLTMGR后加载。木马一般开机加载后，会把MINIFILTER相关功能放到系统初始化好后再启用，而且大家主防默认就个不成文的规律就是只要木马以驱动方式加载了，就不处理了。靠查杀来解决。这也是急救箱存在的主要目的就是查杀ROOTKIT,BOOTKIT,其他的都好办。

驭龙

wowocock 发表于 2018-6-25 14:09
FLTMGR 是MINIFILTER的基石，所有以MINIFILTER为框架的驱动必须在FLTMGR后加载。木马一般开机加载后，会 ...

果然是这样，一旦病毒驱动加载顺序在FLTMGR之前，FS filter基本上就完蛋了。

看来做好入口防御才更重要，直接不让病毒有加载驱动的机会，一旦让病毒加载驱动，基本上就只能急救箱或者PE环境修复了

www-tekeze

wowocock 发表于 2018-6-25 14:09
FLTMGR 是MINIFILTER的基石，所有以MINIFILTER为框架的驱动必须在FLTMGR后加载。木马一般开机加载后，会 ...

感谢解答！ 难怪金山、火绒也有自己的专杀工具，能更好对付Rootkit类病毒。

而主防这个不成文规律，是顾忌在内核里查杀可能带来系统不稳定吧，比如蓝屏死机这类？

wowocock

驭龙 发表于 2018-6-25 14:15
果然是这样，一旦病毒驱动加载顺序在FLTMGR之前，FS filter基本上就完蛋了。

看来做好入口防御才更重 ...

是这样的，一旦木马驱动进来了，大家都在内核就很难处理了。即使查杀也会很困难，比如我们今天发现双枪木马作者在6.24凌晨2点左右又更新了一版，在原来的基础上，增加了系统启动后，禁止任何驱动加载，不管你是杀软还是微软的驱动一律禁止加载，非常恶心，这种情况只能建议用户到WINPE下去查杀了。而且木马驱动可以不管用户系统的稳定和兼容，但杀软不行，所以这也是困难的地方。所以说安全对抗本身就是条不归路。

驭龙

wowocock 发表于 2018-6-25 15:04
是这样的，一旦木马驱动进来了，大家都在内核就很难处理了。即使查杀也会很困难，比如我们今天发现双枪木 ...

这双枪太可怕了，还好我有安全引导＋WDSG，不然我也很担心中毒了。

难怪微软的WD也有离线模式，看来内核对抗真的没有好处，还是入口防御更重要啊。

感谢解答

wowocock

www-tekeze 发表于 2018-6-25 14:50
感谢解答！ 难怪金山、火绒也有自己的专杀工具，能更好对付Rootkit类病毒。

而主防这个不成文规律， ...

对主防来说稳定第一，流畅第二，安全第三。