#Bypass_Code_Signing_Certificate
چالش همیشگی معتبر بودن امضاء یک درایور مهم بوده و میبایست در خصوص روش های دور زدن آن تحقیقات وسیعی نمود,
از این رو, یکی از روش های همیشگی دور زدن مکانیزم Driver Signature Enforcement استفاده از تکنیک پیوستن به دیباگر کرنل یا پیکربندی در فهرست گزینه های پیشرفته Boot هستش,
همونطور که در تصویر مشاهده میکنید اگر درایور خودمون رو به برنامه بدیم, برنامه اون رو Load و سپس dq KernelPayload میکنه یعنی در حالت دیباگ قرار میده که در این حالت درایور سرویس خودش رو نصب کرده و با استفاده از تعریف Blink و Flink پراسس بصورتی که اشاره به خود کنند یک حلقه درونی پیاده سازی کرده و بدین ترتیب سرویس Rootkit هکر در جدول EPROCESS دیده نخواهد شد و قربانی متوجه حضور یک Service مخرب نمیشود
البته ناگفته نمونه که درایور مورد استفاده میبایست یک ioctl دارا باشه برای تعریف یک Function Pointer برای تنظیم مکانیزم SMEP یا Supervisor Mode Execution Prevention در حالت Disable...
https://twitter.com/TheWack0lian/status/779397840762245124
@Unk9vvN
چالش همیشگی معتبر بودن امضاء یک درایور مهم بوده و میبایست در خصوص روش های دور زدن آن تحقیقات وسیعی نمود,
از این رو, یکی از روش های همیشگی دور زدن مکانیزم Driver Signature Enforcement استفاده از تکنیک پیوستن به دیباگر کرنل یا پیکربندی در فهرست گزینه های پیشرفته Boot هستش,
همونطور که در تصویر مشاهده میکنید اگر درایور خودمون رو به برنامه بدیم, برنامه اون رو Load و سپس dq KernelPayload میکنه یعنی در حالت دیباگ قرار میده که در این حالت درایور سرویس خودش رو نصب کرده و با استفاده از تعریف Blink و Flink پراسس بصورتی که اشاره به خود کنند یک حلقه درونی پیاده سازی کرده و بدین ترتیب سرویس Rootkit هکر در جدول EPROCESS دیده نخواهد شد و قربانی متوجه حضور یک Service مخرب نمیشود
البته ناگفته نمونه که درایور مورد استفاده میبایست یک ioctl دارا باشه برای تعریف یک Function Pointer برای تنظیم مکانیزم SMEP یا Supervisor Mode Execution Prevention در حالت Disable...
https://twitter.com/TheWack0lian/status/779397840762245124
@Unk9vvN
Comments
Be the first to add a comment
Log in to comment