某个签名结构损坏的驱动的部分分析

显示全部楼层 · 发表于前天 16:00

wowocock 发表于 2025-5-7 15:17
都是老东西了，早期的2014年以前的驱动加载本就因为微软对兼容性的妥协，导致可以随意加载。他这个只是在 ...

大佬有空的话多看看卡饭，求求了。
btw，百忙之中能抽空给我们解答真的太感谢了

显示全部楼层 · 发表于前天 16:11

你开心就好发表于 2025-5-7 12:58
你确定你有20年的反病毒经验？那20年的经验应该够分析驱动了吧为什么还要求助呢？
好家伙上面的大肉鸡 ...

需要对IP地址进行启发式检测

显示全部楼层 · 发表于前天 16:22

综上，微软背锅

显示全部楼层 · 发表于前天 16:23

那么问题来了，你在驱动已经加载的时候情况下，才能看见他真实的签名。不能在r3未启动的情况下，发现问题。对方驱动加载以后，立即屠杀安全软件。请问怎么办。对方驱动都加载起来了，安全软件不能在加载之前发现异常，及时拦截。被动挨打？

显示全部楼层 · 发表于前天 16:32

uu2058 发表于 2025-5-7 16:23
那么问题来了，你在驱动已经加载的时候情况下，才能看见他真实的签名。不能在r3未启动的情况下，发现问题。 ...

被动挨打也都习惯了，微软为了兼容性，就是留了那么一个漏洞，而且类似的驱动很多，目前微软的做法是利用那个驱动漏洞列表来封签名，发现一个封一个，所以基本都不会漏出去，我试了些还没被封的驱动，可以在任意SECURE BOOT机器上加载任何未签名的内核代码。再说了那么多年来，木马WHQL都习惯了，还在乎那些？而且也说了，只是应用程序看不见，内核里都能看到，安全软件完全也都可以做拦截的。

显示全部楼层 · 发表于前天 16:34

提示: 该帖被管理员或版主屏蔽

显示全部楼层 · 发表于前天 16:35

提示: 该帖被管理员或版主屏蔽

显示全部楼层 · 发表于前天 16:37

uu2058 发表于 2025-5-7 16:34

怎么感觉你有点过于激动了...

显示全部楼层 · 发表于前天 16:38

后续版本是正版签名夹带隐藏签名，你靠肉眼和技术完全无法分别真假签名。更多样本我没公开。我只单独发一个无签名的文件，后面有正版签名夹带隐藏签名的，更加无法判断了。

显示全部楼层 · 发表于前天 16:43

提示: 该帖被管理员或版主屏蔽

uu2058 头像被屏蔽	发表于前天 16:34 来自手机 \| 显示全部楼层提示: 该帖被管理员或版主屏蔽
uu2058 头像被屏蔽
	回复举报

uu2058 头像被屏蔽	发表于前天 16:35 来自手机 \| 显示全部楼层提示: 该帖被管理员或版主屏蔽
uu2058 头像被屏蔽
	回复举报

uu2058 头像被屏蔽	发表于前天 16:43 来自手机 \| 显示全部楼层提示: 该帖被管理员或版主屏蔽
uu2058 头像被屏蔽
	回复举报

[分析报告] 某个签名结构损坏的驱动的部分分析