某个签名结构损坏的驱动的部分分析

ANY.LNK

样本：

此样本的签名无法被文件资源管理器、System Informer、YDArk等工具识别，显示为空白

（已经加载运行，未被SI识别到签名）



VT和D.I.E.报告数据尾部错误（0x80093102）



样本的数字签名较正常签名结构尾部丢失较大一部





但此样本仍被DSE和CI认为合法并允许加载（可在开启安全启动和内核隔离的Windows中运行）。





可以在内核字符串中查找到签名的部分



此样本未表现出明显的行为，可能需要R3的配合。

（最近在忙，有进一步的分析欢迎补充）

uu2058

哈哈，样本就是我提交给杀毒厂商的！这个非常诡异的签名，签名被隐藏了，但是Windows系统可以正常加载，堪比核弹一样，以后大量的恶意驱动利用的话就不得了。应该尽快逆向出来原理，早一点防范风险！   听说这个签名隐藏技术内部在偷偷的卖呢，将来会大量应用在 木马病毒，外{过}{滤}挂上面，尤其是腾讯系列的安全厂商。目前是萌芽期，希望找一点逆向分析出来封杀，防患未然！

wowocock

有签名的，可能没显示出来，Zhengzhou Zhengzhong Software Technology Co., Ltd1,用的是过期签名2012年的5月16到2013年的5月16，为了兼容问题微软会放开2014年前签名的驱动，所以能加载。在R0中是能看到签名信息的。目前这个驱动是空的没什么功能，可能是木马作者测试用的，如果都被过，不排除以后会被大规模使用。

uu2058

现在的问题是，为什么windows系统不显示这个签名，如果不显示签名就是无效签名，既然无效签名，为什么这个过期签名可以加载驱动？谁能回答我？？

你开心就好

uu2058 发表于 2025-5-7 12:19
火绒给我的回答就是 “ sys 驱动文件的嵌入式签名，不会显示在文件属性窗口中，但它仍然是有效签名，系统可 ...

你确定你有20年的反病毒经验？那20年的经验 应该够分析驱动了吧 为什么还要求助呢？
好家伙上面的大肉鸡都不敢说自己有20年的反病毒经验 那么 你应该是大肉鸡的前辈了吧 报个腕吧 方便交流学习一下【技术重在交流嘛】
另外 如果你说的“发现0day漏洞原理 自己用” 他自己能用到哪里去呢 安全软件业内恐怕是禁止使用0day驱动/文件作为开发的吧
另外一个 说个具体的 既然你说20年防病毒经验 可是 你的卡饭论坛账号看等级是新注册的呢
【对事不对人哈 如有冒犯 请谅解】

驭龙

wowocock 发表于 2025-5-7 09:45
有签名的，可能没显示出来，Zhengzhou Zhengzhong Software Technology Co., Ltd1,用的是过期签名2012年的5 ...

大神，我看这个驱动现在好像是在测试的空文件吧，里面好像没啥太多的行为，应该是在测绕过系统安全机制以后加东西，这种如果以后被大规模使用的话，有什么方法反制吗？

uu2058

要反制就要弄清楚实现的原理，否则如何反制。而且目前最新的变种，可以任意把这种隐藏签名插入正常的，驱动软件里面实现漏洞利用，绕过windows安全机制，为下一步恶意软件铺平道路！

wowocock

驭龙 发表于 2025-5-7 14:29
大神，我看这个驱动现在好像是在测试的空文件吧，里面好像没啥太多的行为，应该是在测绕过系统安全机制以 ...

都是老东西了，早期的2014年以前的驱动加载本就因为微软对兼容性的妥协，导致可以随意加载。他这个只是在R3没显示出来而已，R0的验证签名流程里，都能看到文件的签名。

驭龙

wowocock 发表于 2025-5-7 15:17
都是老东西了，早期的2014年以前的驱动加载本就因为微软对兼容性的妥协，导致可以随意加载。他这个只是在 ...

那应该问题不是很严重

感谢大神解答。

大神还来卡饭，真的是我们饭友的大好消息