Здравствуйте, Maxim S. Shatskih, Вы писали:
D>>Ого, нада реверсить. Какаето интересная метода получается по описанию, драйвер грузит нестандартными функциями, он даже в списке отсутствует.
MSS>ZwSetSystemInformation
MSS>В списке отсутствует -> нет driver object -> не может обрабатывать IRPs.
MSS>Кроме как для малвари, непонятно, зачем оно надо.
смысл работы такой: программа содержит в ресурсах 2 подписанных MS-ом драйвера (x32 и x64). Сама программа тоже подписана.
Далее: в случае Vista x64 программа используя ф-ии ObCreateObject и ObInsertObject создает DriverObject и подгружает драйвер.
Из-за этого драйвер не появляется ни в каких списках. Вот и весь секрет.
Прикольно
Можно получить от MS сертификат фирмы "Рога и копыта" за 15 баксов и подписывать им что ни попадя , в том числе драйверы, загружающие другие драйверы.
Re[2]: Неподписаные драйверы в Vista
От:
Аноним
Дата:
24.07.07 17:36
Оценка:
Здравствуйте, crash override, Вы писали:
CO>Прикольно CO>Можно получить от MS сертификат фирмы "Рога и копыта" за 15 баксов и подписывать им что ни попадя , в том числе драйверы, загружающие другие драйверы.
Про certificate revokation слышали?
Это когда после очередного security update'а ваш сертификат вдруг перестает работать.
Здравствуйте, IID, Вы писали:
IID>подгружает драйвер.
как я понимаю, проверка подписи (так называемый code integrity) встроена на очень низком уровне в загрузчик , поэтому загрузить драйвер штатными средствами не получится. они наверное вручную повторяют всю логику загрузчика — создание секции и т.п. — а это небезопасно, о чем они и сами предупреждают.
Warning
We make every effort to provide a safe and reliable tool for loading unsigned drivers on Windows Vista. Atsiv’s loading process however is different to that of the system’s Loader and therefore some drivers may not be compatible and result in a system crash. Atsiv should be used with care.
мне это чем-то напоминает попытки запуска exe из ресурсов — эта тема регулярно обсуждается в форумах и в качестве решения тоже предлагается написать свой loader
Microsoft is committed to protecting its customers from potential as well as actual security threads; accordingly, we are responding to this issue as follows:
1. Windows Defender released a signature update on August 2, 2007 that allows detection, blocking, and removal of the current Atsiv driver. Classification of the Atsiv software was done in accordance with the objective criteria used by the Windows Defender team to assess the characteristics of potentially unwanted software.
2. Certificate revocation has occurred as of August 2, 2007. Microsoft has worked with partners in the code signing certification authority ecosystem to assess the Atsiv issue. VeriSign has revoked the code signing key used to sign the Atsiv kernel driver, which means the code signing key will no longer be considered valid.
3. The security team at Microsoft is investigating adding the revoked key to the kernel mode code signing revocation list, as an additional defense in depth measure. The kernel mode revocation mechanism requires a system reboot in order for the new revocation list to take effect, which is consistent with other Microsoft updates which require and subsequently trigger a reboot.
