首页
论坛
课程
招聘
[求助]现在的驱动都可以盗用微软的签名了吗
2020-5-31 09:45 2918

[求助]现在的驱动都可以盗用微软的签名了吗

2020-5-31 09:45
2918
昨天测试某个软件的时候,发现了个很新颖的驱动,截图如下



 

%20
签名选项直接是Microsoft Windows 用PChunter看,也是微软签名,不知道有没有朋友遇到过这种情况,到底是什么技术实现的呢


看雪招聘平台创建简历并且简历完整度达到90%及以上可获得500看雪币~

收藏
点赞0
打赏
分享
最新回复 (8)
雪    币: 137
活跃值: 活跃值 (500)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
fatcateatrat 活跃值 2020-5-31 10:12
2
0
你看一下,这两个文件应是一样的。
雪    币: 11838
活跃值: 活跃值 (6480)
能力值: ( LV9,RANK:270 )
在线值:
发帖
回帖
粉丝
hzqst 活跃值 3 2020-5-31 10:59
3
0
minifilter redir 或者 干脆就是改名的
雪    币: 297
活跃值: 活跃值 (171)
能力值: ( LV4,RANK:45 )
在线值:
发帖
回帖
粉丝
一二三六 活跃值 2020-5-31 12:14
4
0
fatcateatrat 你看一下,这两个文件应是一样的。
对  大小什么的都是一样的  而且我用010 Editor对比了下 字节都是一样的     这就纳闷了  到底怎么加载上的啊
雪    币: 297
活跃值: 活跃值 (171)
能力值: ( LV4,RANK:45 )
在线值:
发帖
回帖
粉丝
一二三六 活跃值 2020-5-31 12:15
5
0
hzqst minifilter redir 或者 干脆就是改名的
minifilter的可能性不大   问了几个朋友都说是文件替换了  但是如果这样  不就相当于加载了两个pcw.sys了吗
雪    币: 137
活跃值: 活跃值 (500)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
fatcateatrat 活跃值 2020-5-31 12:40
6
0
一二三六 对  大小什么的都是一样的  而且我用010 Editor对比了下 字节都是一样的     这就纳闷了  到底怎么加载上的啊

参考楼下回答

最后于 2020-5-31 15:35 被fatcateatrat编辑 ,原因:
雪    币: 1289
活跃值: 活跃值 (1202)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
killleer 活跃值 2020-5-31 15:16
7
1

我很好奇楼主是不是作死用老ark,普通的r3工具和右键去检测的活动rootkit


活动rootkit直接一个重定向就这样了,或者加载后自删除随便copy个驱动改成同名丢同目录

最后于 2020-5-31 15:19 被killleer编辑 ,原因:
雪    币: 1289
活跃值: 活跃值 (1202)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
killleer 活跃值 2020-5-31 15:16
8
0
一二三六 对 大小什么的都是一样的 而且我用010 Editor对比了下 字节都是一样的 这就纳闷了 到底怎么加载上的啊
你是不是把驱动加载了然后去看的?????
雪    币: 297
活跃值: 活跃值 (171)
能力值: ( LV4,RANK:45 )
在线值:
发帖
回帖
粉丝
一二三六 活跃值 2020-5-31 18:37
9
0
killleer 我很好奇楼主是不是作死用老ark,普通的r3工具和右键去检测的活动rootkit活动rootkit直接一个重定向就这样了,或者加载后自删除随便copy个驱动改成同名丢同目录
额  我已经知道怎么回事了。多谢多谢。。。。。。。。。。。。。。
游客
登录 | 注册 方可回帖
返回