2022-利用Intel的驱动绕过Windows内核安全措施

显示全部楼层 · 发表于 2022-7-3 09:43:32

wwwab 发表于 2022-7-3 01:37
我再去问问：

你的英语还需要继续修炼。。。
另外看着像是qq邮箱？建议用企业邮箱会好一点

显示全部楼层 · 发表于 2022-7-3 10:33:20

本帖最后由 00006666 于 2022-7-3 10:35 编辑

a27573 发表于 2022-7-3 00:15
刚才试了一下，其实即使到了到今天，利用假的时间戳服务器仍然可以搞出能在开了 DG 的 win11 上加载的驱 ...

pyark？看了下pyark有一个驱动带的域联

显示全部楼层 · 发表于 2022-7-3 11:12:47

↓★x 发表于 2022-7-3 09:05
开启Win10/11的核心隔离功能可以阻止这种正规驱动被恶意利用的情况发生吗

在一定程度上可以，但如果这个正规驱动没被微软方面拉黑仍带有WHQL仍然有可能会过

显示全部楼层 · 发表于 2022-7-3 15:04:28

↓★x 发表于 2022-7-3 09:05
开启Win10/11的核心隔离功能可以阻止这种正规驱动被恶意利用的情况发生吗

不能，已经被dell打穿了

显示全部楼层 · 发表于 2022-7-3 15:09:26

intel太老了，新的没人提到

比如winring0的whql版本，什么dell大礼包，还有老外那种抄袭的，第三世界的杀软，连elam都有，不分分钟秒杀全世界杀软？有几个大手子说到现在为止某杀软仍然有0day，乱穿

显示全部楼层 · 发表于 2022-7-3 15:10:24

ANY.LNK 发表于 2022-7-3 00:16
但这个漏洞是管理和审核人员（团队）上的漏洞，软件系统上的漏洞容易修，但最大最严重最难修的，还是人心 ...

人工鉴定分分钟被云驱动爆杀

显示全部楼层 · 发表于 2022-7-3 15:11:15

a27573 发表于 2022-7-3 00:19
@神龟Turmi 之前说审核是要提交源码的。。。这都能查不出来，简直了。。。

大哥，现在大手子的驱动都是loader...你看个云驱动你告诉我你能看出来啥？

显示全部楼层 · 发表于 2022-7-3 15:13:31

pal家族发表于 2022-7-2 22:45
提权之后干点别的比如加个启动项下载个啥东西并运行啥的可以做到吗
看看卡巴对提权后有payload的能不能 ...

只是人家不针对卡巴而已……游戏反作弊那么强大的驱动守护，照样被注入，卡巴这种0对抗经验的会被分分钟秒杀

显示全部楼层 · 发表于 2022-7-3 15:14:44

ANY.LNK 发表于 2022-7-2 22:50
进了内核之后，基本上想干啥就干啥了。

此外，内核payload卡巴在正常情况下如果没有激烈的对抗可以拦 ...

直接注入卡巴不香吗？现在都是点对点打击，游戏反作弊那边强大的驱动守护都能被击穿，更何况卡巴？

显示全部楼层 · 发表于 2022-7-3 16:51:21

tdsskiller 发表于 2022-7-3 15:11
大哥，现在大手子的驱动都是loader...你看个云驱动你告诉我你能看出来啥？

看见加载 payload 就直接不通过不就得了

不管是出于什么原因，就是审核不严呗

[其他相关] 2022-利用Intel的驱动绕过Windows内核安全措施