我彻底崩了，4.18.26010抢先看，说好的软硬件联动呢？现在删除对TDT的支持是几个意思?

ANY.LNK

驭龙 发表于 2026-1-26 18:31
没关系，你这应该是MD 25110版本 ，还没有删除TDT，26010才开始，而且25010的时候引擎就不生成KSLD了，而 ...

在原博客下找到的评论，微软可能自24年就已经开始准备放弃这个功能了


外加日志记录的上次KSLD作为常驻服务默认安装的时候已经是10月2号4.18.25080.5的时候了，而且那时引擎KSLD还会生成，是和drivers目录下一起安装的

驭龙

ANY.LNK 发表于 2026-1-29 02:20
在原博客下找到的评论，微软可能自24年就已经开始准备放弃这个功能了

引擎逻辑问题，实际上测试版引擎更新的时候，基础库也是不更新的，等特征库版本号中位数字变化，才会有基础库与增量库合并，现在的特征库是1.443.xxx，还是上个月的版本，所以才没有合并基础库

而且根据官方信息，当前并没有正式发布26010版本，应该是小规模推送。
https://definitionupdates.microsoft.com/packages?action=info

另外平台自带KSLD驱动是25010开始的，就算是现在26010删除TDT以后依然常驻，而引擎生成的那个是清毒流程中负责ARK，是引擎内部与平台之间同步问题

ANY.LNK

今天又更新了一个平台小版本，到4.18.26010.5了（不过这个“暂存”...可能真的是小规模推送吧），微软那边依然没发文档，定义/情报版本的第三位到了4位数

外加UI也更新了一下，上了新图标（应该是资源文件的更新，原EXE图标没变）

驭龙

ANY.LNK 发表于 2026-2-6 20:47
今天又更新了一个平台小版本，到4.18.26010.5了（不过这个“暂存”...可能真的是小规模推送吧），微软那边 ...

这个是最终的测试版了，应该转正的就是它。

你说的图标是前几天就有分批推送，是那个Windows 安全平台更新补丁提供的，前几天还有人发帖，不是今天才开始推送的。

我这里是上个月推送的，它才是托盘和UI本体

ANY.LNK

正式版本发布了，不过似乎就没提到TDT的事

驭龙

ANY.LNK 发表于 2026-2-13 05:24
正式版本发布了，不过似乎就没提到TDT的事

是的，只字不提TDT，昨天上午发的日志，可惜没有软件真正的更改内容，我真的不知道该说什么了。

另外近期去玩星穹铁道的各种新活动，卡饭这边来的少了，我之前持续更新的帖子都不更新了

ANY.LNK

补充一下最近额外的发现吧，旧版包含对TDT支持的驱动有漏洞，允许从高安全性进程（如LSASS）中提取包括凭据在内的敏感数据
这个版本的驱动并未被（完全）移除，而是留在了Windows\System32\drivers目录下（新版在子目录wd下）


PoC似乎被微软下掉了https://github.com/S1lkys/KslKatz，但是分支还留着https://github.com/ne1llee/xxx
又一个IOCTL校验做的不过关的

驭龙

ANY.LNK 发表于 2026-3-27 11:17
补充一下最近额外的发现吧，旧版包含对TDT支持的驱动有漏洞，允许从高安全性进程（如LSASS）中提取包括凭据 ...

你莫不是搞错了图了，你这KSLD的截图就是旧版本的TDT驱动，不是删除TDT的版本，自然是有漏洞啊。

另外这路径是系统默认内置MD的驱动，更新版本MD版本以后是不会被启用的

ANY.LNK

驭龙 发表于 2026-3-27 17:40
你莫不是搞错了图了，你这KSLD的截图就是旧版本的TDT驱动，不是删除TDT的版本，自然是有漏洞啊。

另外 ...

对，截图的这个驱动就是有漏洞的那个（包含TDT）

虽然路径是系统默认MD版本的位置，但看了眼版本号，不是系统默认的那个，而是上一个MD版本的。看起来微软更新的时候是把原来wd目录下的驱动移动到drivers目录下（可能是更新失败时回滚用）再写入新的驱动文件到wd目录里

这个旧版本的驱动可以被重新加载并加以利用（BYOVD攻击）

驭龙

ANY.LNK 发表于 2026-3-27 18:21
对，截图的这个驱动就是有漏洞的那个（包含TDT）

虽然路径是系统默认MD版本的位置，但看了眼版本号， ...

题外话，2603已经测半个月了，但2602正式版到现在也没推送，MD的效率真的让人爱不起来了