[求助]现在的驱动都可以盗用微软的签名了吗-求助问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (8)
fatcateatrat 雪币： 333 活跃值： (970) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 111 粉丝 4 关注私信	fatcateatrat 2020-5-31 10:12 2 楼 0 你看一下，这两个文件应是一样的。
hzqst 雪币： 12837 活跃值： (8998) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1803 粉丝 539 关注私信	hzqst 3 2020-5-31 10:59 3 楼 0 minifilter redir 或者干脆就是改名的
一二三六雪币： 302 活跃值： (246) 能力值： ( LV4，RANK：45 ) 在线值：发帖 28 回帖 156 粉丝 1 关注私信	一二三六 2020-5-31 12:14 4 楼 0 fatcateatrat 你看一下，这两个文件应是一样的。对大小什么的都是一样的而且我用010 Editor对比了下字节都是一样的这就纳闷了到底怎么加载上的啊
一二三六雪币： 302 活跃值： (246) 能力值： ( LV4，RANK：45 ) 在线值：发帖 28 回帖 156 粉丝 1 关注私信	一二三六 2020-5-31 12:15 5 楼 0 hzqst minifilter redir 或者干脆就是改名的 minifilter的可能性不大问了几个朋友都说是文件替换了但是如果这样不就相当于加载了两个pcw.sys了吗
fatcateatrat 雪币： 333 活跃值： (970) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 111 粉丝 4 关注私信	fatcateatrat 2020-5-31 12:40 6 楼 0 一二三六对大小什么的都是一样的而且我用010 Editor对比了下字节都是一样的这就纳闷了到底怎么加载上的啊参考楼下回答最后于 2020-5-31 15:35 被fatcateatrat编辑，原因：
killleer 雪币： 1556 活跃值： (2087) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 78 粉丝 10 关注私信	killleer 2020-5-31 15:16 7 楼 1 我很好奇楼主是不是作死用老ark，普通的r3工具和右键去检测的活动rootkit 活动rootkit直接一个重定向就这样了，或者加载后自删除随便copy个驱动改成同名丢同目录最后于 2020-5-31 15:19 被killleer编辑，原因：
killleer 雪币： 1556 活跃值： (2087) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 78 粉丝 10 关注私信	killleer 2020-5-31 15:16 8 楼 0 一二三六对大小什么的都是一样的而且我用010 Editor对比了下字节都是一样的这就纳闷了到底怎么加载上的啊你是不是把驱动加载了然后去看的？？？？？
一二三六雪币： 302 活跃值： (246) 能力值： ( LV4，RANK：45 ) 在线值：发帖 28 回帖 156 粉丝 1 关注私信	一二三六 2020-5-31 18:37 9 楼 0 killleer 我很好奇楼主是不是作死用老ark，普通的r3工具和右键去检测的活动rootkit活动rootkit直接一个重定向就这样了，或者加载后自删除随便copy个驱动改成同名丢同目录额我已经知道怎么回事了。多谢多谢。。。。。。。。。。。。。。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (8)
fatcateatrat 雪币： 333 活跃值： (970) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 111 粉丝 4 关注私信	fatcateatrat 2020-5-31 10:12 2 楼 0 你看一下，这两个文件应是一样的。
hzqst 雪币： 12837 活跃值： (8998) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1803 粉丝 539 关注私信	hzqst 3 2020-5-31 10:59 3 楼 0 minifilter redir 或者干脆就是改名的
一二三六雪币： 302 活跃值： (246) 能力值： ( LV4，RANK：45 ) 在线值：发帖 28 回帖 156 粉丝 1 关注私信	一二三六 2020-5-31 12:14 4 楼 0 fatcateatrat 你看一下，这两个文件应是一样的。对大小什么的都是一样的而且我用010 Editor对比了下字节都是一样的这就纳闷了到底怎么加载上的啊
一二三六雪币： 302 活跃值： (246) 能力值： ( LV4，RANK：45 ) 在线值：发帖 28 回帖 156 粉丝 1 关注私信	一二三六 2020-5-31 12:15 5 楼 0 hzqst minifilter redir 或者干脆就是改名的 minifilter的可能性不大问了几个朋友都说是文件替换了但是如果这样不就相当于加载了两个pcw.sys了吗
fatcateatrat 雪币： 333 活跃值： (970) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 111 粉丝 4 关注私信	fatcateatrat 2020-5-31 12:40 6 楼 0 一二三六对大小什么的都是一样的而且我用010 Editor对比了下字节都是一样的这就纳闷了到底怎么加载上的啊参考楼下回答最后于 2020-5-31 15:35 被fatcateatrat编辑，原因：
killleer 雪币： 1556 活跃值： (2087) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 78 粉丝 10 关注私信	killleer 2020-5-31 15:16 7 楼 1 我很好奇楼主是不是作死用老ark，普通的r3工具和右键去检测的活动rootkit 活动rootkit直接一个重定向就这样了，或者加载后自删除随便copy个驱动改成同名丢同目录最后于 2020-5-31 15:19 被killleer编辑，原因：
killleer 雪币： 1556 活跃值： (2087) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 78 粉丝 10 关注私信	killleer 2020-5-31 15:16 8 楼 0 一二三六对大小什么的都是一样的而且我用010 Editor对比了下字节都是一样的这就纳闷了到底怎么加载上的啊你是不是把驱动加载了然后去看的？？？？？
一二三六雪币： 302 活跃值： (246) 能力值： ( LV4，RANK：45 ) 在线值：发帖 28 回帖 156 粉丝 1 关注私信	一二三六 2020-5-31 18:37 9 楼 0 killleer 我很好奇楼主是不是作死用老ark，普通的r3工具和右键去检测的活动rootkit活动rootkit直接一个重定向就这样了，或者加载后自删除随便copy个驱动改成同名丢同目录额我已经知道怎么回事了。多谢多谢。。。。。。。。。。。。。。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复