Pull to refresh

Comments 7

Есть ещё один вариант, который давно гуляет в паблике:

— имеется сертфиикат, выданный китайской конторой TrustAsia
— он просрочен и отозван
— имеется также некая утилита от TrustAsia, по сути — гуёвая обёртка для удобной подписи файлов

тем не менее, этим сертификатом можно подписать драйвер, и, несмотря на то, что он отозван и просрочен, Windows принимает этот драйвер без включения тестового режима (и вообще без внесений изменений в настройки системы). Судя по всему, «гуёвая утилита» не так проста и делает какую-то магию (т.е. сочетание скомпрометированного ключа и некоей уязвимости в реализации DSE). Описанное работает на любой версии Windows (как минимум, начиная с 7, и до 10 1903). Объяснить в точности, как это работает, пока никто не смог, даже матёрые спецы с exelab :)

Пруфы:
модифицированный графический драйвер NVIDIA (nvlddmkm.sys) загружается и работает




P.S. Если кому-то нужно подписать легитимный драйвер, обращайтесь.
UFO landed and left these words here
да, в линупсе уязвимостей совсем нет, его боги писали, как же…
Кто-нибудь знает, что это за программа на скриншоте твита zerosum0x0?
В списке горе-драйверописателей заслуженно должна быть упомянута Innova со своим античитом, драйвер которого покорно исполнял поступающие запросы на скрытие процессов, не проверяя, от кого эти запросы поступают. «Да ладно, чего там проверять… Наш драйвер всё равно никто не будет использовать, кроме нас».
Ладно Иннова, таких драйверописателей примерно пол-Китая. Каждый n-й драйвер от богов из Поднебесной порождает очередное решето, подписанное валидной подписью, которую не очень то спешат отзывать в большинстве случаев.
Причём, в случае с античитами, поголовно используется в основном какой-то лютый копипаст с местных китайских форумов.
Only those users with full accounts are able to leave comments. Log in, please.

Information

Founded
Location
Россия
Website
dsec.ru
Employees
51–100 employees
Registered

Habr blog