首页
社区
课程
招聘
未解决 [求助]现在的驱动都可以盗用微软的签名了吗
发表于: 2020-5-31 09:45 3986

未解决 [求助]现在的驱动都可以盗用微软的签名了吗

2020-5-31 09:45
3986
昨天测试某个软件的时候,发现了个很新颖的驱动,截图如下



 

%20
签名选项直接是Microsoft Windows 用PChunter看,也是微软签名,不知道有没有朋友遇到过这种情况,到底是什么技术实现的呢


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (8)
雪    币: 341
活跃值: (1005)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
2
你看一下,这两个文件应是一样的。
2020-5-31 10:12
0
雪    币: 12857
活跃值: (9172)
能力值: ( LV9,RANK:280 )
在线值:
发帖
回帖
粉丝
3
minifilter redir 或者 干脆就是改名的
2020-5-31 10:59
0
雪    币: 302
活跃值: (246)
能力值: ( LV4,RANK:45 )
在线值:
发帖
回帖
粉丝
4
fatcateatrat 你看一下,这两个文件应是一样的。
对  大小什么的都是一样的  而且我用010 Editor对比了下 字节都是一样的     这就纳闷了  到底怎么加载上的啊
2020-5-31 12:14
0
雪    币: 302
活跃值: (246)
能力值: ( LV4,RANK:45 )
在线值:
发帖
回帖
粉丝
5
hzqst minifilter redir 或者 干脆就是改名的
minifilter的可能性不大   问了几个朋友都说是文件替换了  但是如果这样  不就相当于加载了两个pcw.sys了吗
2020-5-31 12:15
0
雪    币: 341
活跃值: (1005)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
6
一二三六 对  大小什么的都是一样的  而且我用010 Editor对比了下 字节都是一样的     这就纳闷了  到底怎么加载上的啊

参考楼下回答

最后于 2020-5-31 15:35 被fatcateatrat编辑 ,原因:
2020-5-31 12:40
0
雪    币: 1556
活跃值: (2312)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7

我很好奇楼主是不是作死用老ark,普通的r3工具和右键去检测的活动rootkit


活动rootkit直接一个重定向就这样了,或者加载后自删除随便copy个驱动改成同名丢同目录

最后于 2020-5-31 15:19 被killleer编辑 ,原因:
2020-5-31 15:16
1
雪    币: 1556
活跃值: (2312)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
一二三六 对 大小什么的都是一样的 而且我用010 Editor对比了下 字节都是一样的 这就纳闷了 到底怎么加载上的啊
你是不是把驱动加载了然后去看的?????
2020-5-31 15:16
0
雪    币: 302
活跃值: (246)
能力值: ( LV4,RANK:45 )
在线值:
发帖
回帖
粉丝
9
killleer 我很好奇楼主是不是作死用老ark,普通的r3工具和右键去检测的活动rootkit活动rootkit直接一个重定向就这样了,或者加载后自删除随便copy个驱动改成同名丢同目录
额  我已经知道怎么回事了。多谢多谢。。。。。。。。。。。。。。
2020-5-31 18:37
0
游客
登录 | 注册 方可回帖
返回
//