现在给Symantec提交样本一旦确定有毒似乎都会收到一份详细调查报告（SCRIBE report）

a27573

anthonyqian 发表于 2021-11-7 00:13
笑死 有印象 哈哈，最近看到的贴子里面，说“我不在说谎”的人越来越多了。感觉他们管理员就一直怀疑用户 ...

关于那个补丁

KB5004237 Security Update Microsoft patched expired drives not to load

Expire PFX certificates Sign -> Sys Driver Load Error

Applied to the latest version of 21H1

Some company PFX certificate files such as TrustAsia, Nanjing, etc. are now unavailable

Only valid signature drives are now loaded

Looks like Microsoft is now trying to work on an anti-load patch with leaked certificates

之前被吊销证书的驱动照样能加载（这么大的问题几年不管？）


微软官方似乎有意回避这个信息（官网没细说，UC上有人发现了），应该是作为反击？（TrustAsia很早就被用烂了，Nanjing和之前的WHQL Rootkit有关）

所以当时我被怀疑也不全是对方的责任

但无论如何，这个测试足以证明ESET在反-反读取方面的无力

顺便@ANY.LNK @tdsskiller

ANY.LNK

终于修复了？
但是其他的呢？
上海域连？浙江金华这些证书呢？
此外，有的驱动带sha-256有效签名不带WHQL签名也能加载
另一件事：微软拒绝为processhacker的新驱动签名，但目前最新正式版的驱动仍能在开启内核隔离的情况下加载，且这个过程中ASR规则警告阻止驱动加载，但驱动还是成功加载进了内核，并可以执行内核操作


总结一下以上的吧：修的还不彻底

love642108192

a27573 发表于 2021-11-6 23:57
从咖啡转到ESET的我（中间短暂用过红伞，SEP，Comodo，WD和卡巴）

望眼欲穿盼回复，十次上报有 ...

来试试BD企业版，哈哈

Miostartos

这个是自动机分析报告
我以前收到过好多次了，都是这个格式，完全没改过
翻了下邮箱，这个系统18年上线的，那会还是beta

anthonyqian

Miostartos 发表于 2021-11-7 12:43
这个是自动机分析报告
我以前收到过好多次了，都是这个格式，完全没改过
翻了下邮箱，这个系统18年上线的 ...

我上报了几十次了，还没收到过 哈哈。

看起来应该是这个功能转正了。

Miostartos

anthonyqian 发表于 2021-11-7 13:06
我上报了几十次了，还没收到过 哈哈。

看起来应该是这个功能转正了。

这功能19年就转正了啊

anthonyqian

Miostartos 发表于 2021-11-7 13:45
这功能19年就转正了啊

正式出现在官方知识库的上报流程里面应该是在今年10月底。

ICzcz

a27573 发表于 2021-11-6 23:57
从咖啡转到ESET的我（中间短暂用过红伞，SEP，Comodo，WD和卡巴）

望眼欲穿盼回复，十次上报有 ...

我也是因为之前和父母扯了好久的皮才买到的授权才留在E家的。。。

anthonyqian

今天又连续收到了一堆报告，挑了几个放在样本区了。

感觉分析报告应该是纳入铁壳一般的上报流程里面了。

目前看起来是确定为New Threat的样本才会收到报告。