一个正常签名驱动被报毒

223311

现在签名也不一定完全靠得住啊。

雨宫优子

上次病毒测试组的毒包里我就放了个带数字签名的进去...

为什么？
1、后台下载东西安装
2、签名指代的公司不明，GOOGLE没法查到这个公司
3、卡巴明确入库木马下载者[非启发]...

所以，现在数字签名也有点靠不住了

lyqzg

上次病毒测试组的毒包里我就放了个带数字签名的进去...

为什么？
1、后台下载东西安装
2、签名指代的公 ...
aarwwefdds 发表于 2010-4-2 14:39

同意，上次不是有人捉到带签名的马

穿越星空

回复 21# 223311 22# aarwwefdds 23# lyqzg
　　数字签名只能表明这个文件是这个厂商/工作室出来的，并不代表这个文件一定可信，如果这个厂商/工作室本身就是开发木马的呢？
　　其实上述也不可靠，我曾看介绍说，数字签名只要给点钱也能购买到。

穿越星空

回复 17# 单身熟男
　　的确是这样，不过好像就微软的比较特别，数字签名不在文件中，而是以cat类型文件单独存在。

穿越星空

回复 20# 单身熟男
　　的确应该是19楼说的原因，请教楼主是什么系统？

回复  单身熟男
　　的确应该是19楼说的原因，请教楼主是什么系统？
穿越星空 发表于 2010-4-2 18:49

    xp sp3哇～～丫的xuetu显示那个东西是非微软的。。。所以没验证签名直接上传扫描。。哪不知扫描网站出问题，给的扫描报告是另一个文件的，一片红，我也没看文件名，再反过来验证签名发现竟然有签名。。。真是纠结。。。

穿越星空

回复 19# dl123100
　　为什么我和楼主同为XP SP3，会有不同的结果？
　　PS：楼主也为XP SP3系统，在27楼中说明。

穿越星空

回复 27# 单身熟男
　　XT显示什么是非微软的？直接上传扫描？没看懂楼主的意思。

回复  dl123100
　　为什么我和楼主同为XP SP3，会有不同的结果？
　　PS：楼主也为XP SP3系统，在27楼中 ...
穿越星空 发表于 2010-4-2 19:33

   

就是原驱动因为通过了WHQL测试，安装时会将对应的cat编录文件导入，这样XueTr验证签名自然通过。而其它系统因为未导入cat文件，搜索catroot目录无结果，自然报未通过。

另to 29l：

在内核模块中xuetr显示那个sys是蓝色，也就是非微软模块，而且我看文件名很奇怪，才会直接上传到vs上扫描，而扫描结果给了我一个错误的，所以造成了后面的一连串误会。。