高质量WHQL Rootkit样本和释放器一枚，VT 0 报毒

显示全部楼层 · 发表于 2023-6-3 23:57:20

弗利萨发表于 2023-6-1 11:17
说明杀毒软件也不怎么样啊有whql有效签名的驱动杀毒软件就不查杀了 whql签名的驱动直接不检测直接白名单 ...

每天上报的样本数量极大，如果没有足够的权限的话某些安全厂商会使用自动机进行分析从而漏过。这种情况要么改进机器的判断逻辑，要么上人工

显示全部楼层 · 发表于 2023-6-4 00:00:08

tdsskiller 发表于 2023-6-1 14:25
企业是这样的，但是企业都不是所谓的whql攻陷，基本都是被社工和漏洞攻陷的，人家那种渗透攻击比whql这种 ...

而且某些情况下持久化也不需要WHQL，参见方程式组织的样本

显示全部楼层 · 发表于 2023-6-4 00:25:12

ANY.LNK 发表于 2023-6-3 23:57
每天上报的样本数量极大，如果没有足够的权限的话某些安全厂商会使用自动机进行分析从而漏过。这种情况要 ...

人工压力太大了哈哈，这种活得交给ai来做

[原创分析] 高质量WHQL Rootkit样本和释放器一枚，VT 0 报毒