WHQL signed rootkit

wwwab

Jirehlov1234 发表于 2022-7-29 12:53
就服你们，是个rootkit的帖子就能怼到七八十层楼

101楼

wowocock

tdsskiller 发表于 2022-7-29 16:25
在正常工作后，这些木马或多或少都有回调和hook。如果没有正常退出直接卸载的话，要么瞬间蓝屏，要么看到 ...

WIN7X64没影响，WIN10以后，回调不在任何模块内，会触发PATCH GUARD.不过有木马可以HOOK第三方回调绕过，反正是上有政策下有对策。

85683213

wwwab 发表于 2022-7-29 16:03
这你得@85683213 跟他说，那个家伙提出来的sc delete

反正我没真给rootkit试过，怕本来远程好好的给蓝 ...

sc delete 在运行中的驱动会在重启时删除，不会直接卸载，比 sc stop 还安全，所以顶多没作用，根本没机会蓝，蓝只有一种可能，就是有人想红，驱动检测到你的行为，主动蓝屏。

会有 WHQL netfilter 搞对抗我也是认为有人想红，不然在驱动中加入这么明显的特征实在没道理，纯 netfilter 搭配外置 config 大家根本没办法单从驱动本身判断是不是恶意，过杀软或 WHQL 的机会反而更高。


还有你们不会连 sc 查询都没试过就说他是 rootkit 吧
(讲 sc 是因为他是微软标准 api 的代表，也是所有 IT 都会用的工具，你要用 ProcessHacker 或 Sysinternals 这类也行)

00006666

85683213 发表于 2022-7-29 22:56
sc delete 在运行中的驱动会在重启时删除，不会直接卸载，比 sc stop 还安全，所以顶多没作用，根本没机 ...

有极少数特殊情况，sc删除会有作用，以前落花无痕那边远程处理的时候有遇到过可以直接用sc delete干掉的驱动木马，但是这种情况非常少见，而且我本人也没见过，这种方法对于绝大多数驱动木马也都无效

85683213

00006666 发表于 2022-7-29 23:02
有极少数特殊情况，sc删除会有作用，以前落花无痕那边远程处理的时候有遇到过可以直接用sc delete干掉的 ...

知道知道，你讲得我都同意，但是我那一个也不是在讲驱动木马可以被 sc 干掉...

---------------------

以前这种都是不回的，但是看在你这么捧场的份上，还是忍不住了

可能还是我语文不够好，老是跟大家不在一条线上，让大家误解

帝辛

微软WHQL实验室。我谢谢你。TMD