查看: 6535|回复: 10
收起左侧

[技术探讨] 开启Device Guard是否可以使绝大多数Rootkit失去驱动对抗的能力?

[复制链接]
a27573
发表于 2020-3-15 14:03:55 | 显示全部楼层 |阅读模式
Device Guard究竟保护了内核的哪些部分?
ntoskrnl.exe和hal.dll应该被保护了
那么ntfs.sys和atapi.sys之类呢?
还有IDT、SSDT、Shadow SSDT等等,这些表是位于ntoskrnl中吗?如果不是,它们被保护了吗?

以及既然Patch Guard可以被绕过,Device Guard可能被绕过吗?

大佬们可以帮忙解答一下吗?
谢谢

@lifan88
@驭龙


驭龙
发表于 2020-3-15 14:23:54 | 显示全部楼层
DG现在是WDSG实际上是把内核放在HV虚拟环境中,所以大部分的驱动威胁是无效的,但什么都没有百分百安全,只是开DG的话,肯定是比不开安全很多的

评分

参与人数 1人气 +2 收起 理由
a27573 + 2 感谢解答: )

查看全部评分

a27573
 楼主| 发表于 2020-3-15 15:04:43 | 显示全部楼层
本帖最后由 a27573 于 2020-3-15 15:05 编辑
驭龙 发表于 2020-3-15 14:23
DG现在是WDSG实际上是把内核放在HV虚拟环境中,所以大部分的驱动威胁是无效的,但什么都没有百分百安全,只 ...

谢谢
所以这个“内核”是包括了 ntoskrnl.exe 之外的可以被 hook 用来对抗杀软的组件对吧?
我知道一般意义上的 windows 内核是指 ntoskrnl.exe,如果只保护 ntoskrnl.exe 的话,hook ntfs.sys 或 atapi.sys 之类也可以控制磁盘读写
liumailong
发表于 2020-4-28 14:47:54 | 显示全部楼层
开启后好像可以防御PCIE设备直接读内存,对雷电接口有用。
tdsskiller
发表于 2020-5-8 23:22:24 | 显示全部楼层
这个我推荐@wowocock

我感觉对于deviceguard,就是vmp类很难受,白利用就完事了
tdsskiller
发表于 2020-5-21 18:14:49 | 显示全部楼层
emmm,根据我看到某大佬的意思,如果他不是吹牛逼的话。。。

驱动白利用别说device guard,HVCI照样可以干坏事
tdsskiller
发表于 2020-5-21 18:18:02 | 显示全部楼层
本帖最后由 tdsskiller 于 2020-5-21 18:20 编辑
驭龙 发表于 2020-3-15 14:23
DG现在是WDSG实际上是把内核放在HV虚拟环境中,所以大部分的驱动威胁是无效的,但什么都没有百分百安全,只 ...

以后就会有了某些“fake av”+whql驱动的国外冷门杀软,那个洞连女娲都怕
驭龙
发表于 2020-5-21 18:31:57 | 显示全部楼层
tdsskiller 发表于 2020-5-21 18:18
以后就会有了某些“fake av”+whql驱动的国外冷门杀软,那个洞连女娲都怕

所以我说DG并不是非常安全,只是相对的比不使用DG安全一点,DG的存在只是提高一点黑客的入门门槛而已,实际上没有攻不破的防御。
tdsskiller
发表于 2020-5-21 19:04:10 | 显示全部楼层
驭龙 发表于 2020-5-21 18:31
所以我说DG并不是非常安全,只是相对的比不使用DG安全一点,DG的存在只是提高一点黑客的入门门槛而已,实 ...

现在有一种cracker叫偷偷怪,看看别人怎么稳定或者过这些机制的,然后就怒破混淆和强壳直接偷就是要求很高就是了,基本没有几个能这么干成的

评分

参与人数 1人气 +3 收起 理由
驭龙 + 3

查看全部评分

驭龙
发表于 2020-5-21 19:13:41 | 显示全部楼层
tdsskiller 发表于 2020-5-21 19:04
现在有一种cracker叫偷偷怪,看看别人怎么稳定或者过这些机制的,然后就怒破混淆和强壳直接偷就是 ...

计算机安全,就是道高一尺魔高一丈,魔高一尺道高一丈,无限循环
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 19:41 , Processed in 0.141209 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表