【2020-2021/MS对New type of Rootkit非常恼火】2021年驱动签名机制要改了？

显示全部楼层 · 发表于 2020-10-4 23:36:09

本帖最后由 tdsskiller 于 2020-10-4 23:41 编辑

https://docs.microsoft.com/en-us ... elease-certificates
https://docs.microsoft.com/en-us ... ibu2xiaac3rivptwb00

@wowocock @a27573 @zay365

显示全部楼层 · 发表于 2020-10-4 23:40:16

啥啊这是

显示全部楼层 · 发表于 2020-10-5 19:27:54

搞不懂
换个签名，不是照样有漏洞

也许从数学上证明无bug的形式化验证才是最终的解决方案

显示全部楼层 · 发表于 2020-10-5 22:25:08

a27573 发表于 2020-10-5 19:27
搞不懂
换个签名，不是照样有漏洞

你有漏洞你whql很快去世

不管你是什么软件，只要是微软自己以外第三方驱动就不管你死活。。。

但是N卡也不允许这么干啊

题外话：那个sysmon我严重怀疑是老外的养猪行为：有这样一帮人，专门逆驱动和挖洞的，他们的任务就是在某些软件更新的时候立刻拿下你的驱动。sysmon从11.0就被发现有0day，我怀疑他们那班人就是不报，让作者保留了3-4个大版本都有同样的0day，然后就曝光你，那个曝光者稳稳拿CVE----因为个人作品的缺陷就是这样，很容易陷入被动。。

我也怀疑塞克铁门也遭遇了同样的事情，一发超级0day都在一大套驱动里面，全部完蛋，而且是一大套版本的塞克铁门

显示全部楼层 · 发表于 2020-10-5 22:49:06

tdsskiller 发表于 2020-10-5 22:25
你有漏洞你whql很快去世不管你是什么软件，只要是微软自己以外第三方驱动就不管你死活。。。

但 ...

我的意思是，即使签名机制改了，还是要给那些厂商的驱动上签名，也还是只能采取发现后吊销签名的方式，所以改和没改一个样

——————————————————————————————————
关于这个养猪行为，确实是长知识了

显示全部楼层 · 发表于 2020-10-5 23:07:27

a27573 发表于 2020-10-5 22:49
我的意思是，即使签名机制改了，还是要给那些厂商的驱动上签名，也还是只能采取发现后吊销签名的方式，所 ...

sysmon作者：No, they haven't reported it, which is unfortunate.

[其他相关] 【2020-2021/MS对New type of Rootkit非常恼火】2021年驱动签名机制要改了？

评分

浏览过的版块