【还是入的问题】安全软件做内核对抗是否有意义？

莉塔林Rita

驭龙 发表于 2025-2-14 12:24
所以我认为没有R0驱动和内存检测rootkit，仅用R3用户层dll调用Nt或者Zw函数来检测rootkit的产品都没必要 ...

我更寄希望于微软可以更强硬一些（它已经是一位暴君，不应该如此弱气，至少学学谷歌），但是，UAC Bypass的根本修复和强制内核隔离却是拖了几十年才强制执行（扶额）。

wowocock

除了BIOS级别的ROOTKIT，哪个是360急救箱无法处理的ROOTKIT,请提供下样本给我看看。

莉塔林Rita

wowocock 发表于 2025-2-14 15:21
除了BIOS级别的ROOTKIT，哪个是360急救箱无法处理的ROOTKIT,请提供下样本给我看看。

我认为你不会对我下面说的这些更像是”概念证明“的东西有兴趣。

这个基于我在2017年自己闲来没事思考“如果恶意软件能够直接静态修补内核文件（ntoskrnl.exe）那么360急救箱会不会检测内核文件被修改？”。

我在2017年使用Win64AST（软件内置了修补Windows内核文件以关闭PatchGuard和DSE的功能，当然我不确定Win64AST现在是否还具有这个功能）。

在静态修补Windows 7 SP1（安装了截至2017-03安全补丁，MBR分区表+虚拟机传统BIOS引导）的内核文件后，360急救箱（在2017年的版本）并没有检查内核文件完整性（扫描方法：手动勾选强力模式然后开始扫描）。因此Win64AST所做的内核文件修补操作就被这样忽略。

由于年代久远（八年前）我没能保存当时的操作记录，但我记得每一步都做了什么（如上）。

我基于自己做的这个实验得出的结论，当然我还是不知道现在的急救箱会不会检查内核文件完整性。

同样的，我认为在安全引导关闭的电脑上，如果有Rootkit能直接修补内核文件（ntoskrnl.exe）那的确可以做到在受感染系统下无法被清除；因为如果恶意软件可以修补内核文件，那我认为它可以做任何自我保护措施（它此时就是内核）。

wowocock

莉塔林Rita 发表于 2025-2-14 15:32
我认为你不会对我下面说的这些更像是”概念证明“的东西有兴趣。

这个基于我在2017年自己闲来没事思考 ...

现在的都是SECUREBOOT的时代，你所说的意义不大，至于不启用SECURE BOOT的话， 那自然安全性无法保证，不说你这个，就是ESP 劫持的UEFIBOOKIT都能满天飞了。

莉塔林Rita

wowocock 发表于 2025-2-14 15:37
现在的都是SECUREBOOT的时代，你所说的意义不大，至于不启用SECURE BOOT的话， 那自然安全性无法保证，不 ...

我之前见到过一个让Windows忽略WBPT表（防止Windows读取ACPI WBPT表来自动安装厂商软件）的UEFI工具，其中这句话我很在意。

1. The version with -loader suffix will try to search and load EFI\Microsoft\Boot\bootmG{过}F{滤}W.efi so it can be used as a normal UEFI boot entry. (It does not verify the authenticity of bootmG{过}F{滤}W.efi, so even if you managed to launch it with Secure Boot enabled, the trust chain will be effectively broken.)

复制代码

来源：https://github.com/Jamesits/dropWPBT/releases/tag/v0.2

从我的想法来说，做这样的“在安全引导验证结束后就不再验证后续完整性和真实性”的漏洞UEFI Shell依旧是可行的（至于是故意的还是无意的那不可知，当然微软已经给我们表演过一次了）；而我并不在乎“实际上存不存在”，我相当在乎的是“现实中是否可行”。

这就是为什么我始终在乎360急救箱会不会检查内核文件的完整性，啊，这也是我得出“完全可以做到在受感染系统下无法删除“结论的原因。

wowocock

莉塔林Rita 发表于 2025-2-14 15:42
我之前见到过一个让Windows忽略WBPT表（防止Windows读取ACPI WBPT表来自动安装厂商软件）的UEFI工具，其 ...

NTOS的确可以PATCH,我原来也试过，不过目前没人会那么做，所以也没这么针对处理的必要。等有实际用例了，自然会针对处理。如果只讨论理论价值来说，的确没处理，因为原来也讨论过，本来是加入系统修复列表的，后来考虑到实际的问题太多，整个内核玩意万一匹配不对，会导致完全挂掉，所以没有做内核的原版还原。

莉塔林Rita

wowocock 发表于 2025-2-14 15:48
NTOS的确可以PATCH,我原来也试过，不过目前没人会那么做，所以也没这么针对处理的必要。等有实际用例了， ...

好耶
当然，我那么说是觉得如果他都修补内核文件了，那对抗它真不如重装了（只是我真写不出来，不然自己写一个放卡饭吓人了2333）

a27573

但是内核对抗在检测时也有意义
之前样本区有一个Rootkit，感染之前ESET是可以检测到的，但感染之后ESET直接看不到它的文件了

Rukia

a27573 发表于 2025-2-17 01:04
但是内核对抗在检测时也有意义
之前样本区有一个Rootkit，感染之前ESET是可以检测到的，但感染之后ESET直 ...

虽然感染之后ESET无法清除病毒文件，但是会检测到系统存在rookit病毒吗？

Miostartos

其实理论上，非主板固件这级别的RTK，用PE去搞理论上是可以的，毕竟PE可以算另外一个系统了
但是问题是谁知道到底加了多少料，清理的干不干净。
话说主页保安还在活跃吗，刚闲得无聊搜了一下居然还能在脚本之家找到一个主页保安1.0beta的下载