Comments 7
Есть ещё один вариант, который давно гуляет в паблике:
— имеется сертфиикат, выданный китайской конторой TrustAsia
— он просрочен и отозван
— имеется также некая утилита от TrustAsia, по сути — гуёвая обёртка для удобной подписи файлов
тем не менее, этим сертификатом можно подписать драйвер, и, несмотря на то, что он отозван и просрочен, Windows принимает этот драйвер без включения тестового режима (и вообще без внесений изменений в настройки системы). Судя по всему, «гуёвая утилита» не так проста и делает какую-то магию (т.е. сочетание скомпрометированного ключа и некоей уязвимости в реализации DSE). Описанное работает на любой версии Windows (как минимум, начиная с 7, и до 10 1903). Объяснить в точности, как это работает, пока никто не смог, даже матёрые спецы с exelab :)
Пруфы:
P.S. Если кому-то нужно подписать легитимный драйвер, обращайтесь.
— имеется сертфиикат, выданный китайской конторой TrustAsia
— он просрочен и отозван
— имеется также некая утилита от TrustAsia, по сути — гуёвая обёртка для удобной подписи файлов
тем не менее, этим сертификатом можно подписать драйвер, и, несмотря на то, что он отозван и просрочен, Windows принимает этот драйвер без включения тестового режима (и вообще без внесений изменений в настройки системы). Судя по всему, «гуёвая утилита» не так проста и делает какую-то магию (т.е. сочетание скомпрометированного ключа и некоей уязвимости в реализации DSE). Описанное работает на любой версии Windows (как минимум, начиная с 7, и до 10 1903). Объяснить в точности, как это работает, пока никто не смог, даже матёрые спецы с exelab :)
Пруфы:
модифицированный графический драйвер NVIDIA (nvlddmkm.sys) загружается и работает
P.S. Если кому-то нужно подписать легитимный драйвер, обращайтесь.
UFO just landed and posted this here
Кто-нибудь знает, что это за программа на скриншоте твита zerosum0x0?
В списке горе-драйверописателей заслуженно должна быть упомянута Innova со своим античитом, драйвер которого покорно исполнял поступающие запросы на скрытие процессов, не проверяя, от кого эти запросы поступают. «Да ладно, чего там проверять… Наш драйвер всё равно никто не будет использовать, кроме нас».
Ладно Иннова, таких драйверописателей примерно пол-Китая. Каждый n-й драйвер от богов из Поднебесной порождает очередное решето, подписанное валидной подписью, которую не очень то спешат отзывать в большинстве случаев.
Причём, в случае с античитами, поголовно используется в основном какой-то лютый копипаст с местных китайских форумов.
Причём, в случае с античитами, поголовно используется в основном какой-то лютый копипаст с местных китайских форумов.
Sign up to leave a comment.
Опасные 3rd-party драйверы в вашей системе или LOLDrivers