|
|
注意:部分PoC使用了知名的泄露证书(比如:“HT SRL”等)进行签名,微软在最新的系统上已经将这些证书拉黑。如果您发现驱动无法加载,请使用没有被微软拉黑的证书给驱动重新进行签名,或使用signtool工具移除驱动的签名后再关闭DSE进行测试。
测试方法:直接双击test.bat,然后尝试删除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ZXXXX。
可以防御低强度(比如直接调用Nt系列注册表函数)的注册表删除,但不能过PCHUNTER。
|
|
发表于 2017-10-7 23:57:54
发表于 2017-11-14 23:58:42