楼主: 清道夫900
收起左侧

[微点] 官人 啥时候重写下驱动程序啊

[复制链接]
wowocock
发表于 2018-6-25 11:18:38 | 显示全部楼层
www-tekeze 发表于 2018-6-25 11:10
明白了,也就是说某些类型的虽然加了钩,但不一定能看到。。。感谢大佬回复!

一般会采用minifilter来写过滤,优点是太简单方便了,任何人花5分钟学习下,就能写驱动了。
驭龙
发表于 2018-6-25 11:53:56 | 显示全部楼层
wowocock 发表于 2018-6-25 11:18
一般会采用minifilter来写过滤,优点是太简单方便了,任何人花5分钟学习下,就能写驱动了。

minifilter好像是现在最通用的方法了吧,当初最早是在微软Forefront上出现的,那时候驱动才50KB左右,真的好简单啊,现在常用的FS filter驱动好像是一百几十KB,四五十条FLT函数,很多软件都差不多啊。


问一下,如果病毒驱动加载顺序在FLTMGR之前加载,是不是就能绕过minifilter的文件监控?
www-tekeze
发表于 2018-6-25 13:58:03 | 显示全部楼层
本帖最后由 www-tekeze 于 2018-6-25 14:02 编辑
wowocock 发表于 2018-6-25 10:09
文件挂钩的几种方式
官方支持的2种
1,sfilter类的文件过滤驱动,可以在PCHUNTER的内核-过滤驱动中找 ...

按照大佬指点,在微端口过滤器中看到火绒的了,原来都是minifilter类微过滤。。    还看到SBie沙盘的。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
www-tekeze
发表于 2018-6-25 14:01:35 | 显示全部楼层
wowocock 发表于 2018-6-25 11:18
一般会采用minifilter来写过滤,优点是太简单方便了,任何人花5分钟学习下,就能写驱动了。

我敢肯定我花5个小时也不会写,大佬咋办呢。。
wowocock
发表于 2018-6-25 14:09:19 | 显示全部楼层
驭龙 发表于 2018-6-25 11:53
minifilter好像是现在最通用的方法了吧,当初最早是在微软Forefront上出现的,那时候驱动才50KB左右,真 ...

FLTMGR 是MINIFILTER的基石,所有以MINIFILTER为框架的驱动必须在FLTMGR后加载。木马一般开机加载后,会把MINIFILTER相关功能放到系统初始化好后再启用,而且大家主防默认就个不成文的规律就是只要木马以驱动方式加载了,就不处理了。靠查杀来解决。这也是急救箱存在的主要目的就是查杀ROOTKIT,BOOTKIT,其他的都好办。
驭龙
发表于 2018-6-25 14:15:50 | 显示全部楼层
wowocock 发表于 2018-6-25 14:09
FLTMGR 是MINIFILTER的基石,所有以MINIFILTER为框架的驱动必须在FLTMGR后加载。木马一般开机加载后,会 ...

果然是这样,一旦病毒驱动加载顺序在FLTMGR之前,FS filter基本上就完蛋了。

看来做好入口防御才更重要,直接不让病毒有加载驱动的机会,一旦让病毒加载驱动,基本上就只能急救箱或者PE环境修复了
www-tekeze
发表于 2018-6-25 14:50:43 | 显示全部楼层
wowocock 发表于 2018-6-25 14:09
FLTMGR 是MINIFILTER的基石,所有以MINIFILTER为框架的驱动必须在FLTMGR后加载。木马一般开机加载后,会 ...

感谢解答! 难怪金山、火绒也有自己的专杀工具,能更好对付Rootkit类病毒。

而主防这个不成文规律,是顾忌在内核里查杀可能带来系统不稳定吧,比如蓝屏死机这类?

wowocock
发表于 2018-6-25 15:04:49 | 显示全部楼层
驭龙 发表于 2018-6-25 14:15
果然是这样,一旦病毒驱动加载顺序在FLTMGR之前,FS filter基本上就完蛋了。

看来做好入口防御才更重 ...

是这样的,一旦木马驱动进来了,大家都在内核就很难处理了。即使查杀也会很困难,比如我们今天发现双枪木马作者在6.24凌晨2点左右又更新了一版,在原来的基础上,增加了系统启动后,禁止任何驱动加载,不管你是杀软还是微软的驱动一律禁止加载,非常恶心,这种情况只能建议用户到WINPE下去查杀了。而且木马驱动可以不管用户系统的稳定和兼容,但杀软不行,所以这也是困难的地方。所以说安全对抗本身就是条不归路。

评分

参与人数 1人气 +1 收起 理由
驭龙 + 1 版区有你更精彩: )

查看全部评分

驭龙
发表于 2018-6-25 15:10:46 | 显示全部楼层
wowocock 发表于 2018-6-25 15:04
是这样的,一旦木马驱动进来了,大家都在内核就很难处理了。即使查杀也会很困难,比如我们今天发现双枪木 ...

这双枪太可怕了,还好我有安全引导+WDSG,不然我也很担心中毒了。

难怪微软的WD也有离线模式,看来内核对抗真的没有好处,还是入口防御更重要啊。

感谢解答
wowocock
发表于 2018-6-25 15:11:13 | 显示全部楼层
www-tekeze 发表于 2018-6-25 14:50
感谢解答! 难怪金山、火绒也有自己的专杀工具,能更好对付Rootkit类病毒。

而主防这个不成文规律, ...

对主防来说稳定第一,流畅第二,安全第三。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-27 01:25 , Processed in 0.106537 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表