成熟后门身披商业外衣，对抗杀软实现远控

誓言永恒

谢谢你，这嵌套if治好了我的低血压。

Yuki丶

00006666 发表于 2024-7-19 12:24
技术上不是做不到，检测自己回调没了就直接bsod也不难，但是用户能不能接受就不好说了，用户只知道是杀软 ...

暂停/终止系统线程他就检测不到了

tdsskiller

隔山打空气 发表于 2024-7-19 11:53
本身就是利用BYOVD的，一般来说给漏洞驱加小范围通杀措施（为了对抗改hash）就行

其他的通用思路就是 ...

没啥用的，这种就是对付一下脚本小子，国产的那些人家全局拉黑你签名然后占你坑直接哑了，真要跟你急眼可以看看国产那些传奇私-Fu和锁主页那些驱动

tdsskiller

DisaPDB 发表于 2024-7-19 12:45
暴力拆回调肯定得加驱的，不然根本不可能动到r0的东西
所以理论上确实可以通过严格控制加载驱动的操作来 ...

然后几百万用户里面有快一半的电脑无法开机

tdsskiller

aboringman 发表于 2024-7-19 12:37
尤其是BEST是给企业用户用的，这一强制重启在某些特定的时间用户估计得哭爹喊娘（

不过严控驱动 ...

微软的锅，拉黑签名也没用，最近火绒签名都被拉黑了。微软真要认真起来，除了WD自己，其余所有杀软的驱动都无法加载，任何游戏驱动都不能加载，任何硬盘/U盘/显卡驱动也或多或少无法加载，也就代表着系统啥也干不了了。因为windows自身自由度高，易用度高的原因早就已经积重难返了。

tdsskiller

00006666 发表于 2024-7-19 12:24
技术上不是做不到，检测自己回调没了就直接bsod也不难，但是用户能不能接受就不好说了，用户只知道是杀软 ...

不太行的，杀软的对抗思路和反作弊不一样，反作弊可以一直报环境异常游戏无法启动

DisaPDB

tdsskiller 发表于 2024-7-27 13:32
然后几百万用户里面有快一半的电脑无法开机

我说的是驱动加载过程（）
都加载不了怎么会开不了机（）

隔山打空气

tdsskiller 发表于 2024-7-27 13:31
没啥用的，这种就是对付一下脚本小子，国产的那些人家全局拉黑你签名然后占你坑直接哑了，真要跟你急眼可 ...

直接这么玩才是傻X黑产和脚本小子的玩法（

你急眼了就该轮到外援来干碎你了，这还隐藏个锤子，拆回调本身就是为了不引起防守方注意的

真要直接k哪还这么多有的没的，直接干掉就完事

哦对，前提是你能绕过杀软加载上驱动

tdsskiller

DisaPDB 发表于 2024-7-27 14:07
我说的是驱动加载过程（）
都加载不了怎么会开不了机（）

白驱动误伤率很高
PS：某国外论坛的挂壁老外说，WD都有内核代码任意执行用于作弊的，我只能说不知道是真是假。

但是有一点是真的，win10-1909及之前的系统里面，据说存在非常非常多的win32k类的内核代码任意执行还没有被公开，导致老外的反作弊都是要求你的系统必须版本是大于1909还是多少才能让你玩游戏，老外的挂哥天天找那些老系统的阴间漏洞来作弊防不胜防。

tdsskiller

隔山打空气 发表于 2024-7-27 15:56
直接这么玩才是傻X黑产和脚本小子的玩法（

你急眼了就该轮到外援来干碎你了，这还隐藏个锤子，拆回调 ...

错误的，现在玩一锤子买卖多一些，这些干杀软的大部分服务于勒索或者是免杀好但是部署动作大的窃密或者远控，就讲究在部署的那一下给杀软闭嘴了，这也就是为什么所有的ARK都被微软拉黑的原因。
绕过杀软加载驱动可太简单了，比如再给你安装一款杀软，或者一些老外那些杀软小工具就行了。

提醒一下，有一段时间的国外主流大厂elam驱动，某驱动木马杀毒器的驱动总是被上传，火绒的驱动在某版本的微软已经不让加载驱动了，另一某驱动木马杀毒器的驱动已经泛滥成灾了。

我想说的是，这种情况基本就是windows系统自由度大易用性大的结局