楼主: vaedzy
收起左侧

[技术原创] 当杀软遇上2020的驱动是否能一战

  [复制链接]
tdsskiller
发表于 2022-2-8 16:24:52 | 显示全部楼层
a27573 发表于 2022-2-8 10:49
其实不差这一个
前段时间还看到一个仍然可用的BE漏洞驱动,能加载另一个驱动的那种

fake news,你直接说用杀软的最隐蔽就是了……
Hacker-云
发表于 2022-2-8 17:20:52 | 显示全部楼层
蓝泽祈 发表于 2022-2-5 11:43
红伞系秒级响应,目前红伞系全部拉黑

跟~马上换
a27573
发表于 2022-2-8 17:41:27 | 显示全部楼层
Jirehlov1234 发表于 2022-2-5 16:04
2.5测试服引入了mhyprot3,有新漏洞可以玩了,签名还是WHQL

今天启动器更新,更新说明是增加了自动安装“小补丁”的功能
Jirehlov1234
发表于 2022-2-8 17:51:48 | 显示全部楼层
a27573 发表于 2022-2-8 17:41
今天启动器更新,更新说明是增加了自动安装“小补丁”的功能

不敢相信他们还在win7挣扎,制作团队早该放弃win7了
huangsijun17
发表于 2022-2-9 14:07:13 | 显示全部楼层
Jirehlov1234 发表于 2022-2-8 17:51
不敢相信他们还在win7挣扎,制作团队早该放弃win7了

玩家啊,Windows7在游戏玩家里的基数多大?
ikochina
头像被屏蔽
发表于 2022-2-9 23:27:01 | 显示全部楼层
再测测咖啡、毛豆、大蜘蛛(主防开启加驱询问,看看能否直接过)
Yuki丶
发表于 2022-2-11 00:10:06 | 显示全部楼层
本帖最后由 Yuki丶 于 2022-2-11 00:16 编辑

有一说一这种测试没啥意义 加载驱动挂个创建进程通知能让所有杀软打不开
类似于这样if (wcsstr(CreateInfo->ImageFileName->Buffer, L"Huorong\\Sysdiag")) CreateInfo->CreationStatus = STATUS_UNSUCCESSFUL;
而且x64下正规保护进程的方法没有能防驱动的


00006666
发表于 2022-2-11 00:12:20 | 显示全部楼层
Yuki丶 发表于 2022-2-11 00:10
有一说一这种测试没啥意义 加载驱动挂个创建进程通知能让所有杀软打不开
而且x64下正规保护进程的方 ...

正规的保护方法应该是拦截服务加载,而不是研究怎么做进程保护,等驱动加载完成,基本都结束了。
BE_HC
发表于 2022-2-11 00:19:21 | 显示全部楼层
00006666 发表于 2022-2-11 00:12
正规的保护方法应该是拦截服务加载,而不是研究怎么做进程保护,等驱动加载完成,基本都结束了。

虽然这么说,如果恶意驱动已经加载了又跟杀软对抗的话,还是立刻BSOD比较好。

防御前移到加载确实是最好的方法,但是现在WHQL的rootkit也还是有,这就非常难搞了感觉还是得要巨硬改进一下驱动的加载机制。
00006666
发表于 2022-2-11 00:21:43 | 显示全部楼层
BE_HC 发表于 2022-2-11 00:19
虽然这么说,如果恶意驱动已经加载了又跟杀软对抗的话,还是立刻BSOD比较好。

防御前移到加载确实是最 ...

讲道理楼主用的是一个无签名的自制程序来加载驱动,虽然加载的驱动是白驱动,但是那个程序不就挺可疑的,用的也是常规的创建服务,不知道为什么很多杀软不拦截
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 14:18 , Processed in 0.104134 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表