|
2.zip
(7.08 KB, 下载次数: 11)
事情是这样的,有一个朋友说发现驱动程序没有签名居然也可以加载驱动。当时我非常震惊,我猜想可能是对方电脑中毒了。因为据我了解,驱动程序想要在Windows系统里面加载必须要有数字签名,而且Windows10 11在开启安全启动的电脑里面,必须要微软whql认证才能加载驱动!直到朋友把文件发来了,我震惊了。确实是一个没有任何签名的sys文件,于是我测试了所有主流windows系统居然全部可以加载驱动,非常糟糕,有猫腻!
于是逆向分析了这个sys文件,看见内部藏了一个数字签名,但是windows系统不显示这个签名。这就奇怪了,如果windows不显示数字签名,应该是无效签名啊!既然是无效签名,为什么Windows操作系统可以识别呢?并且可以正常加载。
因为本人逆向水平有限,故请火绒专家完整的逆向出来是怎么回事?还有听说,这个sys隐藏签名,可以在正常的软件里面夹带,可以实现绕过WHQL认证!
我朋友说不要分享样本,但是我们2个人逆向了半天也没搞懂是什么样的技术。
请求专家完整逆向出来,并且公开这个漏洞利用细节,让更多的人知道。如果火绒逆向出来了,请不要私藏起来,应该和更多的安全人士分享这个发现!提高所有人的安全意识,更多的样本可以联系我!
|
评分
-
查看全部评分
|