2022-利用Intel的驱动绕过Windows内核安全措施

85683213

ANY.LNK 发表于 2022-7-3 00:04
听说对User Mode加载的驱动验证没有Kernel Mode严格，所以也有可能是加载了之后再改的设置，

不过我也更倾向于认为这是微软驱动签名验证的漏洞导致的。微软出现这种声明和实际情况不符不是一次两次了 ...

Kernel checks for non-WHQL signed drivers - Compatibility Cookbook | Microsoft Docs

翻译：2016 年以前签的，不是 WHQL 也行；被 Revoked 的签名也行
(Realtek 2010、Asus 2019 都曾经 Revoked，不能让这些老 driver 用不了吧)

所以其实文档写得很清楚，大家都误解了

85683213

a27573 发表于 2022-7-3 00:19
@神龟Turmi  之前说审核是要提交源码的。。。这都能查不出来，简直了。。。

像这种审查，基本上只有第一次会比较仔细；后面都跑一些自动测试，从输出判断，而不是直接读代码，搞逆向。

自动测试会有动静态扫描，Application Verifier 只是其中最基础的，还有很多其他隐藏的关卡。例如这篇提到的漏洞现在都有能力直接查出来，他可以得知你从网上拷贝了哪些有问题的代码而直接拒绝你，也可以列出你修改了哪些部分作为审查的依据。

当然最后大部分是靠信誉。

所以一般会在前几次提交正常的内容，在后面的版本再偷渡一些不正当的东西。

你说靠信誉有没有用？当然很有用。你今天有一次恶意，未来都没机会通过了

没有名字ssss

一开始还以为Intel处理器，AMD能吃瓜，看到win下的intel网络驱动.....ubuntu可以吃瓜...

君の问题

没有名字ssss 发表于 2022-7-3 18:54
一开始还以为Intel处理器，AMD能吃瓜，看到win下的intel网络驱动.....ubuntu可以吃瓜...

精辟

tdsskiller

85683213 发表于 2022-7-3 18:05
像这种审查，基本上只有第一次会比较仔细；后面都跑一些自动测试，从输出判断，而不是直接读代码，搞逆向 ...

实际上，给钱给多了还是过了，老外那些稀奇古怪的杀软，第三方工具动不动就whql，都是重灾区

a27573

没有名字ssss 发表于 2022-7-3 18:54
一开始还以为Intel处理器，AMD能吃瓜，看到win下的intel网络驱动.....ubuntu可以吃瓜...

你也可以选择 MT

ANY.LNK

85683213 发表于 2022-7-3 17:09
Kernel checks for non-WHQL signed drivers - Compatibility Cookbook | Microsoft Docs

翻译：2016  ...

还是担心兼容性的问题，嗯，我之前说过了

azxsqw

360