带WHQL的netfilter2.sys，全过

wowocock

ANY.LNK 发表于 2026-1-30 17:25
要有权限的号
https://x.threatbook.com/v5/pricing

帮忙拿个文件
Md5: a6cabece784b01e4f5e313d41f830645

神龟Turmi

wowocock 发表于 2026-1-30 17:54
帮忙拿个文件
Md5: a6cabece784b01e4f5e313d41f830645

没有啊
只能下云沙箱的 单纯有情报下不了

神龟Turmi

xiaozhu009 发表于 2026-1-30 17:20
微步现在还能拿样本吗

都已经说了是NetfilterSDK官方Demo 你还点个-1是何意味啊？

ANY.LNK

wowocock 发表于 2026-1-30 17:54
帮忙拿个文件
Md5: a6cabece784b01e4f5e313d41f830645

嘶……这东西微步，VT，腾讯，安恒，MB，triage查的时候都没有。唯一有信息的是360和微软
但360没有开放下载



微软方面可能样本没有上传或已经被删除了





我接着去别的地方看看

ylch1337

神龟Turmi 发表于 2026-1-30 18:20
都已经说了是NetfilterSDK官方Demo 你还点个-1是何意味啊？

vulnerable driver?

神龟Turmi

ylch1337 发表于 2026-1-30 18:52
vulnerable driver?

如果这算vulnerable
那所有WFPSDK 包括windivert 包括proxifier 包括winpkfilter 都是vulnerable
过滤指定进程的流量是WFP的正常功能
即使你把WFP全部拉黑了 用winpcap/npcap这样的NDIS也能在几小时内写出类似的功能

Yuki丶

ylch1337 发表于 2026-1-30 18:52
vulnerable driver?

你也挺逆天的

ylch1337

神龟Turmi 发表于 2026-1-30 19:00
如果这算vulnerable
那所有WFPSDK 包括windivert 包括proxifier 包括winpkfilter 都是vulnerable
过滤 ...

我菜菜，别骂我QAQ

ylch1337

Yuki丶 发表于 2026-1-30 19:10
你也挺逆天的

我不知道，呜呜

神龟Turmi

ylch1337 发表于 2026-1-30 19:16
我菜菜，别骂我QAQ

没有这个意思 只是想更深入的讨论一下这个问题

如果哪天真的发生（实际上几乎不可能）因为这个原因丢掉了WFP
那么最可能发生的事情是
他们拿起npcap 然后用etw过滤进程的连接建立 然后npcap丢掉他们想丢掉的东西。。。
那么最后的结果。。。依然不需要自己签名WHQL 依然可以精准的断网安全软件 甚至NDIS更难被反制
然后怎么办呢？连着npcap一起标vulnerable吗？还是禁止用户态用etw呢？

所以这样不是解决问题的办法。。。无论是尝试让自己不被WFP过滤到 或者抓nfapi的通信判断自己是否被WFP过滤了 这样才是真正解决问题