染毒环境清除测试---2021年的杀软能成功清除2018年版本的Rootkit吗？

显示全部楼层 · 发表于 2021-7-1 11:40:09

火绒

您好，样本已可查杀，关于专杀工具无法查杀的问题已提bug，感谢您的反馈

【ID：32607】

显示全部楼层 · 发表于 2021-7-1 12:43:38

本帖最后由 ANY.LNK 于 2021-7-1 12:58 编辑

青山永恒发表于 2021-7-1 12:34
2015年以前的sha1签名驱动，无论是否撤销签名，都可以被加载。

编辑

显示全部楼层 · 发表于 2021-7-1 14:22:30

大蜘蛛只有一个免费的查杀工具，不能实时监控，哎，遗憾呀

显示全部楼层 · 发表于 2021-7-1 16:27:19

a27573 发表于 2021-6-30 20:35
那这个怎么解释
https://bbs.kafan.cn/thread-2178658-1-1.html
之前龙大也说加壳+云控可以骗过微软

这个就是合法提交的
不止Aimware有WHQL，市面上几乎所有的外{过}{滤}挂都有
包括AJ X22 AA等等一大堆
微软的规则里没有说外{过}{滤}挂不可以获得WHQL

显示全部楼层 · 发表于 2021-7-1 16:35:05

a27573 发表于 2021-6-30 20:40
这个驱动的签名已经被撤销了，但参考前面的测试，仍然可以在未开启安全启动的win10上加载

CodeSign和SSL不同
CodeSign看的是时间戳的时间是否过期/被Revoke
这个设计从一开始就有问题
所以无论什么情况都不推荐关闭Secureboot

显示全部楼层 · 发表于 2021-7-1 16:35:22

本帖最后由 hooyuan 于 2021-7-1 16:38 编辑

PANDA-失败

.扫描可以检测，重启后清除失败。

使用专用清理工具，同样失败，total失败

显示全部楼层 · 发表于 2021-7-1 16:35:41

ANY.LNK 发表于 2021-6-30 21:12
吊销了，不过也许这个驱动将自己的证书添加了信任。还有，我用的不是LSTB测试，而是最新的win10 21h1这真 ...

看时间戳这个CS在时间戳时间是没有被吊销的

显示全部楼层 · 发表于 2021-7-1 16:40:58

a27573 发表于 2021-6-30 20:40
这个驱动的签名已经被撤销了，但参考前面的测试，仍然可以在未开启安全启动的win10上加载

补充说明一下前面说的时间戳

拿我自己的一个小工具举例
我的CodeSign早该在2020年9月过期，但是现在依然认为有效，因为它签名的日期（时间戳）是6月
同理，如果是个被Revoke的CS，在被Revoke之前签到驱动/程序上的依然有效

所以windows不会认为这个CS有任何问题

显示全部楼层 · 发表于 2021-7-1 17:14:13

离谱急救箱

显示全部楼层 · 发表于 2021-7-1 21:50:31

本帖最后由 a27573 于 2021-7-2 17:59 编辑

神龟Turmi 发表于 2021-7-1 16:35
看时间戳这个CS在时间戳时间是没有被吊销的

还有前面@青山永恒的说法

2015年以前的sha1签名驱动，无论是否撤销签名，都可以被加载。

请教一下：
1.是不是一个样本用2015年前的（泄露）证书签署（按你的说法，把系统时间调到吊销前再签署，或者按照那位的说法，撤销了也没关系），就可以绕过安全启动了？那这样吊销证书岂不是一点用都没有了？
2.这个样本的签名看不到时间戳，这是什么原因？这样的签名Windows也放行吗？

[分享] 染毒环境清除测试---2021年的杀软能成功清除2018年版本的Rootkit吗？