|
注意:部分PoC使用了知名的泄露证书(比如:“HT SRL”等)进行签名,微软在最新的系统上已经将这些证书拉黑。如果您发现驱动无法加载,请使用没有被微软拉黑的证书给驱动重新进行签名,或使用signtool工具移除驱动的签名后再关闭DSE进行测试。 驱动加载后PCHUNTER等ARK看不到驱动的存在(可能会看到“可疑模块”,但没有BASE/SIZE/PATH等信息)。
驱动创建的线程每隔1秒会通过DBGVIEW输出字符串(证明驱动是“活动的”)。
驱动加载后不可以卸载(不是技术上做不到,而是增加测试的麻烦程度,所以略去了)。
支持XP~WIN11。在实际应用这个技术之前,需要解决PatchGuard捣乱的问题。
|
|