成熟后门在野外“泛滥”，加载 Rootkit 对抗杀软

驭龙

ddxuchen 发表于 2024-3-21 22:32
哈哈哈，幸好我多年前就放弃诺顿了

我只是需要它的云备份，不然真不想用，还不如MD好用，真心无奈

kafan988

支持一下

tdsskiller

00006666 发表于 2024-3-21 16:58
国外貌似这种WHQL的黑驱动很少，一般是漏洞驱动比较多。

rootkit本身以隐蔽为主，确实国外的WHQL类ROOTKIT没有流出来过，唯一知道的就是那个CS的挂aimware的驱动有WHQL，其余的没有曝光过。

但是国外的漏洞驱动非常非常非常的多

DisaPDB

tdsskiller 发表于 2024-3-22 19:55
rootkit本身以隐蔽为主，确实国外的WHQL类ROOTKIT没有流出来过，唯一知道的就是那个CS的挂aimware的驱动 ...

想起一个笑话：俩反作弊驱动互相标记对方导致两款游戏都玩不了
然后没过多久被双双恶意利用

ddxuchen

DisaPDB 发表于 2024-3-23 13:23
想起一个笑话：俩反作弊驱动互相标记对方导致两款游戏都玩不了
然后没过多久被双双恶意利用

666，确实有被笑到

ANY.LNK

驭龙 发表于 2024-3-21 16:54
哈哈，干掉一个系统的WHQL驱动，系统就G了

但我想不通的是国外大厂的安软居然默认加白，诺顿到现在也 ...

不过系统的驱动的签名不是一般是Microsoft Windows签名吗？大部分的WHQL签名都是给第三方的，而且单带WHQL的硬件相关驱动（比如声卡、显卡相关）都会带厂商自己的签名

驭龙

ANY.LNK 发表于 2024-3-24 00:27
不过系统的驱动的签名不是一般是Microsoft Windows签名吗？大部分的WHQL签名都是给第三方的，而且单带WHQ ...

没用的，微软审核问题，很多小公司的驱动也会通过WHQL，另外还有其他原因，所以国内这种东西好多

tdsskiller

ANY.LNK 发表于 2024-3-24 00:27
不过系统的驱动的签名不是一般是Microsoft Windows签名吗？大部分的WHQL签名都是给第三方的，而且单带WHQ ...

不小心干掉个显卡，cpu或者磁盘的一些驱动也是一样啊

tdsskiller

DisaPDB 发表于 2024-3-23 13:23
想起一个笑话：俩反作弊驱动互相标记对方导致两款游戏都玩不了
然后没过多久被双双恶意利用

be和eac是吧

ANY.LNK

tdsskiller 发表于 2024-3-24 15:55
不小心干掉个显卡，cpu或者磁盘的一些驱动也是一样啊

这里说的是带单签名的WHQL驱动