染毒环境清除测试---2021年的杀软能成功清除2018年版本的Rootkit吗？

显示全部楼层 · 发表于 2021-7-1 22:01:09

青山永恒发表于 2021-7-1 12:34
2015年以前的sha1签名驱动，无论是否撤销签名，都可以被加载。

安全启动开启时也是这样吗？

显示全部楼层 · 发表于 2021-7-1 22:09:59

青山永恒发表于 2021-7-1 22:08
2015年以前的驱动签名不需要WHQL。

那岂不是找个泄露签名，把系统时间调到2015年以前签署就可以绕过安全启动了？

显示全部楼层 · 发表于 2021-7-1 22:21:20

青山永恒发表于 2021-7-1 22:15
是因为兼容性的原因，2015年7月29号之前驱动签名不要求WHQL。

是的，这个我知道，我之前引用的微软文档也提到了。

Drivers was signed with an end-entity certificate issued prior to July 29th 2015 that chains to a supported cross-signed CA.

可是

chains to a supported cross-signed CA.

怎么理解？吊销了的证书也算吗？

显示全部楼层 · 发表于 2021-7-2 09:05:32

蜘蛛虽然没成功，但是感觉还是挺靠谱的

显示全部楼层 · 发表于 2021-7-2 12:44:54

@00006666

今天论坛微信公众号已推送该帖

显示全部楼层 · 发表于 2021-7-2 12:54:59

屁颠屁颠发表于 2021-7-2 12:44
@00006666

今天论坛微信公众号已推送该帖

谢谢。

显示全部楼层 · 发表于 2021-7-2 14:28:40

ANY.LNK 发表于 2021-6-29 22:09
现在已经准备好了一台被劫持的重启后的虚拟机
开始快速扫描……
没有发现威胁

奇怪了，我用Hyper-v win10试了一次，关闭DG后成功注入驱动，驱动服务也成功开启，但是ie主页还是没变（百度搜索）,用WD全盘扫描没有查出drivers下的驱动

显示全部楼层 · 发表于 2021-7-2 14:42:23

本帖最后由 ANY.LNK 于 2021-7-2 14:44 编辑

喀反发表于 2021-7-2 14:28
奇怪了，我用Hyper-v win10试了一次，关闭DG后成功注入驱动，驱动服务也成功开启，但是ie主页还是没变（ ...

请问你重启系统了吗？要导入注册表配置的。该驱动依据注册表配置劫持首页

显示全部楼层 · 发表于 2021-7-2 14:44:26

ANY.LNK 发表于 2021-7-2 14:42
请问你重启系统了吗？

重启了

显示全部楼层 · 发表于 2021-7-2 14:45:27

青山永恒发表于 2021-7-2 14:42
看一下有没有正确运行样本，批处理版的一般没问题，非批处理版的可能是运行顺序错误，木马数据.reg没有导 ...

[分享] 染毒环境清除测试---2021年的杀软能成功清除2018年版本的Rootkit吗？