楼主: 00006666
收起左侧

[分享] 染毒环境清除测试---2021年的杀软能成功清除2018年版本的Rootkit吗?

  [复制链接]
a27573
发表于 2021-6-30 20:35:38 | 显示全部楼层
神龟Turmi 发表于 2021-6-30 12:05
WHQL是需要一起提交驱动源码才能批的
前两天那个魔改Netfilter才是第一次有记载的微软误签发WHQL给Rootk ...

那这个怎么解释
https://bbs.kafan.cn/thread-2178658-1-1.html
之前龙大也说加壳+云控可以骗过微软
而且微软没这么大面子让别人把商业机密给他看吧?
a27573
发表于 2021-6-30 20:40:33 | 显示全部楼层
神龟Turmi 发表于 2021-6-30 12:04
所以win7 only
win10跑不了就是因为必须要带WHQL才能进kernel mode
(前提是,别真的傻乎乎的去关掉sec ...

这个驱动的签名已经被撤销了,但参考前面的测试,仍然可以在未开启安全启动的win10上加载
a27573
发表于 2021-6-30 20:41:09 | 显示全部楼层
本帖最后由 a27573 于 2021-6-30 20:42 编辑
ikochina 发表于 2021-6-30 12:16
pe也有区别的,大蜘蛛是linux,其他是winpe,linux下清除能力是比win强的

都LiveCD了,能干的事情基本上一样了
a27573
发表于 2021-6-30 20:43:47 | 显示全部楼层
ANY.LNK 发表于 2021-6-30 14:02
这边关了设备安全性里面的内核隔离和杀软(不一定要关secureboot)就可以加载这个驱动了,主页也能被劫持 ...

连安全启动都不用关吗?
这就奇怪了
ANY.LNK
发表于 2021-6-30 20:59:39 | 显示全部楼层
a27573 发表于 2021-6-30 20:43
连安全启动都不用关吗?
这就奇怪了

至少我没有关Hyper-V的安全启动,只是关了内核隔离,用bat就可以加载了
根据微软的说明https://docs.microsoft.com/zh-cn ... ows-10-boot-process安全启动是用来防固件rootkit和bootkit的,而这个驱动只是个对抗能力较强的普通内核级rootkit
我一会儿准备试试VMware或Virtual Box,Hyper-V在我这里是用不了了
a27573
发表于 2021-6-30 21:04:17 | 显示全部楼层
本帖最后由 a27573 于 2021-6-30 21:08 编辑
ANY.LNK 发表于 2021-6-30 20:59
至少我没有关Hyper-V的安全启动,只是关了内核隔离,用bat就可以加载了
根据微软的说明https://docs.mic ...

关键是按理来说开启安全启动之后,1607以上的win会强制要求WHQL签名啊
所以是符合下面哪条规则让它成功加载了呢?
Cross-signed drivers are still permitted if any of the following are true:

    The PC was upgraded from an earlier release of Windows to Windows 10, version 1607.
    Secure Boot is off in the BIOS.
    Drivers was signed with an end-entity certificate issued prior to July 29th 2015 that chains to a supported cross-signed CA.

To prevent systems from failing to boot properly, boot drivers will not be blocked, but they will be removed by the Program Compatibility Assistant.

你可以看一下在你的虚拟机里这个驱动的签名吊销了吗?还是说LTSB的策略比较特殊?

ANY.LNK
发表于 2021-6-30 21:12:52 | 显示全部楼层
a27573 发表于 2021-6-30 21:04
关键是按理来说开启安全启动之后,1607以上的win会强制要求WHQL签名啊
所以是符合下面哪条规则让 ...

吊销了,不过也许这个驱动将自己的证书添加了信任。还有,我用的不是LSTB测试,而是最新的win10 21h1这真的很奇怪

评分

参与人数 1人气 +1 收起 理由
a27573 + 1 这可真是太奇怪了

查看全部评分

ANY.LNK
发表于 2021-6-30 21:26:58 | 显示全部楼层
难道微软仅把这项要求作为口头上的要求吗?
a2120258
发表于 2021-6-30 21:41:00 | 显示全部楼层
微点主动防御测试一下,应该几次重启后电脑就会恢复正常
吃香肠的竹簸箕
发表于 2021-7-1 10:58:26 | 显示全部楼层
看来360还是有两把刷子的
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 03:21 , Processed in 0.099035 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表