成熟后门在野外“泛滥”，加载 Rootkit 对抗杀软

显示全部楼层 · 发表于 2024-3-21 22:39:09

ddxuchen 发表于 2024-3-21 22:32
哈哈哈，幸好我多年前就放弃诺顿了

我只是需要它的云备份，不然真不想用，还不如MD好用，真心无奈

显示全部楼层 · 发表于 2024-3-22 19:55:43

00006666 发表于 2024-3-21 16:58
国外貌似这种WHQL的黑驱动很少，一般是漏洞驱动比较多。

rootkit本身以隐蔽为主，确实国外的WHQL类ROOTKIT没有流出来过，唯一知道的就是那个CS的挂aimware的驱动有WHQL，其余的没有曝光过。

但是国外的漏洞驱动非常非常非常的多

显示全部楼层 · 发表于 2024-3-23 13:23:18

tdsskiller 发表于 2024-3-22 19:55
rootkit本身以隐蔽为主，确实国外的WHQL类ROOTKIT没有流出来过，唯一知道的就是那个CS的挂aimware的驱动 ...

想起一个笑话：俩反作弊驱动互相标记对方导致两款游戏都玩不了
然后没过多久被双双恶意利用

显示全部楼层 · 发表于 2024-3-23 16:09:06

DisaPDB 发表于 2024-3-23 13:23
想起一个笑话：俩反作弊驱动互相标记对方导致两款游戏都玩不了
然后没过多久被双双恶意利用

666，确实有被笑到

显示全部楼层 · 发表于 2024-3-24 00:27:31

驭龙发表于 2024-3-21 16:54
哈哈，干掉一个系统的WHQL驱动，系统就G了

但我想不通的是国外大厂的安软居然默认加白，诺顿到现在也 ...

不过系统的驱动的签名不是一般是Microsoft Windows签名吗？大部分的WHQL签名都是给第三方的，而且单带WHQL的硬件相关驱动（比如声卡、显卡相关）都会带厂商自己的签名

显示全部楼层 · 发表于 2024-3-24 00:30:08

本帖最后由驭龙于 2024-3-24 00:32 编辑

ANY.LNK 发表于 2024-3-24 00:27
不过系统的驱动的签名不是一般是Microsoft Windows签名吗？大部分的WHQL签名都是给第三方的，而且单带WHQ ...

没用的，微软审核问题，很多小公司的驱动也会通过WHQL，另外还有其他原因，所以国内这种东西好多

显示全部楼层 · 发表于 2024-3-24 15:55:28

ANY.LNK 发表于 2024-3-24 00:27
不过系统的驱动的签名不是一般是Microsoft Windows签名吗？大部分的WHQL签名都是给第三方的，而且单带WHQ ...

不小心干掉个显卡，cpu或者磁盘的一些驱动也是一样啊

显示全部楼层 · 发表于 2024-3-24 15:56:03

DisaPDB 发表于 2024-3-23 13:23
想起一个笑话：俩反作弊驱动互相标记对方导致两款游戏都玩不了
然后没过多久被双双恶意利用

be和eac是吧

显示全部楼层 · 发表于 2024-3-24 16:51:25

tdsskiller 发表于 2024-3-24 15:55
不小心干掉个显卡，cpu或者磁盘的一些驱动也是一样啊

这里说的是带单签名的WHQL驱动

显示全部楼层 · 发表于 2024-3-24 19:29:53

ANY.LNK 发表于 2024-3-24 16:51
这里说的是带单签名的WHQL驱动

n卡，intel那些，貌似就是有带whql而不是ms的

[讨论] 成熟后门在野外“泛滥”，加载 Rootkit 对抗杀软