高质量WHQL Rootkit样本和释放器一枚，VT 0 报毒

a27573

tdsskiller 发表于 2023-5-27 21:56
表示疑惑，我记得基本反作弊都是过不了内核隔离这一关的那些反作弊驱动越界那么多东西，不得被内核 ...

作为正经的长期经营的公司，微软能给他们WHQL，他们的操作肯定不会太离谱的

tdsskiller

a27573 发表于 2023-5-27 22:03
作为正经的长期经营的公司，微软能给他们WHQL，他们的操作肯定不会太离谱的

WHQL不能作为参考对象，国内WHQL木马都那么多了，我只能说可能做了一定的妥协，把检测外{过}{滤}挂从技术对抗改到游戏内容核查上了

a27573

AEht 发表于 2023-5-27 22:01
听你这么一说我已经放弃了做辅杀用了，纯粹想体验一下
（转念一想我突然想到我有个树莓派，我有个 ...

给你做个参考，这玩意在我的老笔记本上大约要占用2-3个G的内存，10%的CPU(i7-8550U)

你的树莓派性能够不够，自己掂量吧

毕竟核心是数据分析系统，所以要利用缓存优化计算速度


而且这里其实还有一个网络的可访问性的问题，在局域网里当然好办，但是如果电脑要带出去，还得把家里的服务端做端口映射和DDNS等等（这已经是有公网IP的前提下了，如果没有还要做穿透）

a27573

tdsskiller 发表于 2023-5-27 22:04
WHQL不能作为参考对象，国内WHQL木马都那么多了，我只能说可能做了一定的妥协，把检测外{过}{滤}挂从技术 ...

但是WHQL木马查出来就吊销证书，正经反外{过}{滤}挂公司可不敢这么搞

据我所知妥协确实是有的，以前的TP本来做了Hypervisor的，估计是用来过PG，后来去掉了（这个是旧闻了）

asbjdj

AEht 发表于 2023-5-27 21:25
我准备去搞一个Elastic开源版玩玩，听说挺强的，好的话可以短期入个白金体验一下（贵得要死，企业）

Elastic解压miss了双击没试而且Elastic的源代码全部开源（是的，包括授权验证）所以pj起来很简单自己部署然后改两个文件就行，自己玩玩的话pj就够了

AEht

a27573 发表于 2023-5-27 22:05
给你做个参考，这玩意在我的老笔记本上大约要占用2-3个G的内存，10%的CPU(i7-8550U)

你的树莓派性能够 ...

管他呢，4b 8g正好周末明天先试一试。

AEht

asbjdj 发表于 2023-5-27 22:13
Elastic解压miss了双击没试而且Elastic的源代码全部开源（是的，包括授权验证）所以pj起来很简单自己部署 ...

那为什么我看VT上扫描到了呢？https://www.virustotal.com/gui/file/1dec77fe38e8d8ec5c9a9643c4260d16c03dded64906a64be709709c63fdde29?nocache=1
设置的区别吗？
关于pj能指引一下吗？

tdsskiller

a27573 发表于 2023-5-27 22:06
但是WHQL木马查出来就吊销证书，正经反外{过}{滤}挂公司可不敢这么搞

据我所知妥协确实是有的，以前的 ...

反外{过}{滤}挂都是正常公司，比不了

但是国人WHQL木马都三年了还没死光

asbjdj

AEht 发表于 2023-5-27 22:17
那为什么我看VT上扫描到了呢？https://www.virustotal.com/gui/file/1dec77fe38e8d8ec5c9a9643c426 ...

不知道怎么回事，elastic调不了灵敏度也没有手动扫描，之前也遇到过VT上报本地不报的状况
PJ看着个https://blog.csdn.net/snake2u/article/details/123368146

ANY.LNK

a27573 发表于 2023-5-27 22:06
但是WHQL木马查出来就吊销证书，正经反外{过}{滤}挂公司可不敢这么搞

据我所知妥协确实是有的，以前的 ...

那也未必，我这边收集的WHQL木马有些就算被微软入库了证书也依然是有效的……
吊不吊销可能还得指望微软谜一样的部门协调……