当杀软遇上2020的驱动是否能一战

显示全部楼层 · 发表于 2022-2-8 16:24:52

a27573 发表于 2022-2-8 10:49
其实不差这一个
前段时间还看到一个仍然可用的BE漏洞驱动，能加载另一个驱动的那种

fake news，你直接说用杀软的最隐蔽就是了……

显示全部楼层 · 发表于 2022-2-8 17:20:52

蓝泽祈发表于 2022-2-5 11:43
红伞系秒级响应，目前红伞系全部拉黑

跟~马上换

显示全部楼层 · 发表于 2022-2-8 17:41:27

Jirehlov1234 发表于 2022-2-5 16:04
2.5测试服引入了mhyprot3，有新漏洞可以玩了，签名还是WHQL

今天启动器更新，更新说明是增加了自动安装“小补丁”的功能

显示全部楼层 · 发表于 2022-2-8 17:51:48

a27573 发表于 2022-2-8 17:41
今天启动器更新，更新说明是增加了自动安装“小补丁”的功能

不敢相信他们还在win7挣扎

，制作团队早该放弃win7了

显示全部楼层 · 发表于 2022-2-9 14:07:13

Jirehlov1234 发表于 2022-2-8 17:51
不敢相信他们还在win7挣扎，制作团队早该放弃win7了

玩家啊，Windows7在游戏玩家里的基数多大？

显示全部楼层 · 发表于 2022-2-9 23:27:01

再测测咖啡、毛豆、大蜘蛛（主防开启加驱询问，看看能否直接过）

显示全部楼层 · 发表于 2022-2-11 00:10:06

本帖最后由 Yuki丶于 2022-2-11 00:16 编辑

有一说一这种测试没啥意义加载驱动挂个创建进程通知能让所有杀软打不开

类似于这样if (wcsstr(CreateInfo->ImageFileName->Buffer, L"Huorong\\Sysdiag")) CreateInfo->CreationStatus = STATUS_UNSUCCESSFUL;
而且x64下正规保护进程的方法没有能防驱动的

显示全部楼层 · 发表于 2022-2-11 00:12:20

Yuki丶发表于 2022-2-11 00:10
有一说一这种测试没啥意义加载驱动挂个创建进程通知能让所有杀软打不开
而且x64下正规保护进程的方 ...

正规的保护方法应该是拦截服务加载，而不是研究怎么做进程保护，等驱动加载完成，基本都结束了。

显示全部楼层 · 发表于 2022-2-11 00:19:21

00006666 发表于 2022-2-11 00:12
正规的保护方法应该是拦截服务加载，而不是研究怎么做进程保护，等驱动加载完成，基本都结束了。

虽然这么说，如果恶意驱动已经加载了又跟杀软对抗的话，还是立刻BSOD比较好。

防御前移到加载确实是最好的方法，但是现在WHQL的rootkit也还是有，这就非常难搞了

感觉还是得要巨硬改进一下驱动的加载机制。

显示全部楼层 · 发表于 2022-2-11 00:21:43

BE_HC 发表于 2022-2-11 00:19
虽然这么说，如果恶意驱动已经加载了又跟杀软对抗的话，还是立刻BSOD比较好。

防御前移到加载确实是最 ...

讲道理楼主用的是一个无签名的自制程序来加载驱动，虽然加载的驱动是白驱动，但是那个程序不就挺可疑的，用的也是常规的创建服务，不知道为什么很多杀软不拦截

[技术原创] 当杀软遇上2020的驱动是否能一战