染毒环境清除测试---2021年的杀软能成功清除2018年版本的Rootkit吗？

a27573

神龟Turmi 发表于 2021-6-30 12:05
WHQL是需要一起提交驱动源码才能批的
前两天那个魔改Netfilter才是第一次有记载的微软误签发WHQL给Rootk ...

那这个怎么解释
https://bbs.kafan.cn/thread-2178658-1-1.html
之前龙大也说加壳+云控可以骗过微软
而且微软没这么大面子让别人把商业机密给他看吧？

a27573

神龟Turmi 发表于 2021-6-30 12:04
所以win7 only
win10跑不了就是因为必须要带WHQL才能进kernel mode
（前提是，别真的傻乎乎的去关掉sec ...

这个驱动的签名已经被撤销了，但参考前面的测试，仍然可以在未开启安全启动的win10上加载

a27573

ikochina 发表于 2021-6-30 12:16
pe也有区别的，大蜘蛛是linux，其他是winpe，linux下清除能力是比win强的

都LiveCD了，能干的事情基本上一样了

a27573

ANY.LNK 发表于 2021-6-30 14:02
这边关了设备安全性里面的内核隔离和杀软（不一定要关secureboot）就可以加载这个驱动了，主页也能被劫持 ...

连安全启动都不用关吗？
这就奇怪了

ANY.LNK

a27573 发表于 2021-6-30 20:43
连安全启动都不用关吗？
这就奇怪了

至少我没有关Hyper-V的安全启动，只是关了内核隔离，用bat就可以加载了
根据微软的说明https://docs.microsoft.com/zh-cn ... ows-10-boot-process安全启动是用来防固件rootkit和bootkit的，而这个驱动只是个对抗能力较强的普通内核级rootkit
我一会儿准备试试VMware或Virtual Box，Hyper-V在我这里是用不了了

a27573

ANY.LNK 发表于 2021-6-30 20:59
至少我没有关Hyper-V的安全启动，只是关了内核隔离，用bat就可以加载了
根据微软的说明https://docs.mic ...

关键是按理来说开启安全启动之后，1607以上的win会强制要求WHQL签名啊
所以是符合下面哪条规则让它成功加载了呢？

Cross-signed drivers are still permitted if any of the following are true:

    The PC was upgraded from an earlier release of Windows to Windows 10, version 1607.
    Secure Boot is off in the BIOS.
    Drivers was signed with an end-entity certificate issued prior to July 29th 2015 that chains to a supported cross-signed CA.

To prevent systems from failing to boot properly, boot drivers will not be blocked, but they will be removed by the Program Compatibility Assistant.

你可以看一下在你的虚拟机里这个驱动的签名吊销了吗？还是说LTSB的策略比较特殊？

ANY.LNK

a27573 发表于 2021-6-30 21:04
关键是按理来说开启安全启动之后，1607以上的win会强制要求WHQL签名啊
所以是符合下面哪条规则让 ...

吊销了，不过也许这个驱动将自己的证书添加了信任。还有，我用的不是LSTB测试，而是最新的win10 21h1这真的很奇怪

ANY.LNK

难道微软仅把这项要求作为口头上的要求吗？

a2120258

微点主动防御测试一下，应该几次重启后电脑就会恢复正常

吃香肠的竹簸箕

看来360还是有两把刷子的