WHQL 驱动木马6月30号签名，只有3家报

ANY.LNK

wwwab 发表于 2022-7-27 14:59
早就上报了

别的样本上报完都是很快的

也许还有种可能就是机器参与的入库过程，微软目前仍没有完全改掉上报系统对WHQL证书的默认信任。所以当Malware的鉴定结果和WHQL证书的冲突导致迟迟无法完成入库过程，需要人工参与。

PS：https://bbs.kafan.cn/thread-2239995-1-1.html的WHQL驱动样本入库很快，一天多就完成入库检测了（比其中的DLL入库都快）。所以具体情况仍不得而知

fzp070

wwwab 发表于 2022-7-27 15:08
有WHQL证书，不请示不敢拉哈希的吧，万一出问题算谁的

某些杀软都不敢入库whql Rootkit

好吧！
很不灵活啊，看来内部对WHQL Rootkit的处理流程还没理顺

wwwab

fzp070 发表于 2022-7-27 15:12
好吧！
很不灵活啊，看来内部对WHQL Rootkit的处理流程还没理顺

whql rootkit你要习惯有些厂商入库了又被拉白了，拉白了又被入库了，或者是有些厂商一直说文件干净无需检测还给拉白了，又或者是入库很慢……

ANY.LNK

huangzihang 发表于 2022-7-27 14:54
老早就确定malware了现在才俩，真是不上心，不过MD这玩意反驱能力本来就不太行。

这批样本有R0 R3互保，微软的BTR.sys和其他反Rootkit功能打掉驱动后R3会在重启时写回去，所以会有删不掉的假象。有些复合Rootkit会有多环互保或多驱互保的情况，微软在这方面的确需要改进。

但这并不意味着它反Rootkit能力弱，详情可参考国外杀软区中对各杀软的反Rootkit测试

wwwab

WHQL RootKit，要是不是vt报红很多或者vt信誉声誉不太好，我都怀疑有些厂商根本就不会入库

fzp070

wwwab 发表于 2022-7-27 15:14
whql rootkit你要习惯有些厂商入库了又被拉白了，拉白了又被入库了，或者是有些厂商一直说文件干净无需检 ...

这咋办？
只能想法吊销它的WHQL签名了吧！

之前论坛看到说这个网址，可以上传驱动进行分析，不知道对这种有没有用
https://www.microsoft.com/en-us/wdsi/driversubmission

ANY.LNK

fzp070 发表于 2022-7-27 15:20
这咋办？
只能想法吊销它的WHQL签名了吧！

这个网址我之前上报总是卡在填写验证码，控制台返回403上报不了。验证码确认填写正确，所以可能是微软服务器方面的问题。不知道你们那边怎么样

fzp070

ANY.LNK 发表于 2022-7-27 15:31
这个网址我之前上报总是卡在填写验证码，控制台返回403上报不了。验证码确认填写正确，所以可能是微软服 ...

额，这上面没上报过，我试试

ANY.LNK

fzp070 发表于 2022-7-27 15:37
额，这上面没上报过，我试试

记得选Malware一栏

wwwab

ANY.LNK 发表于 2022-7-27 15:31
这个网址我之前上报总是卡在填写验证码，控制台返回403上报不了。验证码确认填写正确，所以可能是微软服 ...

我之前又给微软发了几封邮件还是全部都没有回信