通过Nvidia签名的二进制文件执行系统命令

最新推荐文章于 2023-02-07 09:15:00 发布
最新推荐文章于 2023-02-07 09:15:00 发布
阅读量162 收藏
点赞数
原文链接:https://yq.aliyun.com/articles/596472
版权

前段时间,在PowerMemory上工作时,我在其中一台电脑上发现了一个由Nvidia配置的隐藏帐户(https://twitter.com/pabraeken/status/651369704746020864)。

然后,当我看到Hexacorn文章(http://www.hexacorn.com/blog/2017/11/10/reusigned-binaries-living-off-the-signed -land /)时,我非常开心。

我开始寻找Nvidia其他类似的可执行系统命令,以及Nvidia的合法性。

我发现这一个:

通过Nvidia签名的二进制文件执行系统命令

运行它,之后看他的参数很有希望执行命令。

通过Nvidia签名的二进制文件执行系统命令

命令列表包括Hexacorn发现的:

AddUninstall,Call,CheckPath,CheckRAID,ClassSweep,Copy,CopyV,CreateDevice,CreateShortcut,Del,DelBoot,DelBootQuiet,DelIniIfMatched,DelOemInfs,DelReg,DelRegE,DirAndApply,Echo,EnumDevices, EnumRegCmd,EnumRegNamesCmd,Eval,FindOEMInf,GetDrivePort,GetFolderPath,GetInfGUID,GetReg,Help,If,InstallDriver,InstallDriverEx,KillApp,RemoveDevice,Run,RunOnce,SendMessage,Set,SetEnv,SetReg,Sleep,Splash,StartLogging,StopLogging,SysCallAndWait,系统,UnifyUninst,卸载,UnInstallEx,UninstallGUI,UninstallService,WaitOnRegDel

以下这些命令的说明:

· Decrement: 以数字方式减少变量

· Increment: 以数字方式增加一个变量

· DisplayControlPanel:显示有关显示控制面板卸载的消息。

· AskToCloseAndExitIfRunning:给定应用程序名称,枚举所有正在运行的应用程序以进行匹配。如果找到,则提示用户关闭应用程序。

· RemoveDriverStore:使用setupdi调用从系统中删除与给定描述相匹配的任何设备。 Enum可以是(PCI,EISA等),HWID通常是VEN_10DE,设备类型可以是DISPLAY,HDC,MEDIA,NET,SYSTEM。

· RemoveDeviceEx:使用setupdi调用从系统中删除与给定描述相匹配的任何设备。 Enum可以是(PCI,EISA等),HWID通常是VEN_10DE,设备类型可以是DISPLAY,HDC,MEDIA,NET,SYSTEM。

· DisableDevice:使用setupdi调用禁用与系统中给定描述相匹配的任何设备。 Enum可以是(PCI,EISA等),HWID通常是VEN_10DE,设备类型可以是DISPLAY,HDC,MEDIA,NET,SYSTEM。

· RemoveUpperFilter:从指定它的任何设备中删除过滤器服务。

· StopService:卸载给定的服务名称。

· RmString:如果找到,则从原始字符串中删除该字符串,并将结果保存到新变量中。

· DelAll:删除给定的文件夹,如果它存在,它也删除文件夹内的内容。

· DisplayControlPanel:显示有关显示控制面板卸载的消息。

· AskToCloseAndExitIfRunning:给定应用程序名称,枚举所有正在运行的应用程序以进行匹配。如果找到,则提示用户关闭应用程序。

· RemoveDriverStore:使用setupdi调用从系统中删除与给定描述相匹配的任何设备。 Enum可以是(PCI,EISA等),HWID通常是VEN_10DE,设备类型可以是DISPLAY,HDC,MEDIA,NET,SYSTEM。

· RemoveDeviceEx:使用setupdi调用从系统中删除与给定描述相匹配的任何设备。 Enum可以是(PCI,EISA等),HWID通常是VEN_10DE,设备类型可以是DISPLAY,HDC,MEDIA,NET,SYSTEM。

· DisableDevice:使用setupdi调用禁用与系统中给定描述相匹配的任何设备。 Enum可以是(PCI,EISA等),HWID通常是VEN_10DE,设备类型可以是DISPLAY,HDC,MEDIA,NET,SYSTEM。

· RemoveUpperFilter:从指定它的任何设备中删除过滤器服务。

· StopService:卸载给定的服务名称。

· RmString:如果找到,则从原始字符串中删除该字符串,并将结果保存到新变量中。

· DelAll:删除给定的文件夹,如果它存在,它也删除文件夹内的内容。

运行 calc.exe

通过Nvidia签名的二进制文件执行系统命令

查看信息显示我们该文件需要管理员权限(与Hexacorn描述的二进制文件nvuhda.exe和nvuhda6.exe完全相同)。

Sigcheck -m nvudisp.exe

通过Nvidia签名的二进制文件执行系统命令

这是一个有意义的研究,攻击者可以用来打破标准的EDR检测规则。


原文发布时间为:2018-05-24

本文来自云栖社区合作伙伴“嘶吼网”,了解相关信息可以关注“嘶吼网”。

统信系统UOS桌面版V20 用户手册
Reyn_观极
07-27 1万+
UOS桌面版V20用户手册。
Ubuntu18.04 系统 Ros Melodic,Nvidia驱动,Cuda10,Cudnn,Autoware1.13的安装
weixin_49353816的博客
02-10 2057
前言 本人借鉴了许多博主的博客,在此表示感谢。安装这些东西实属不易,踩了不少坑,希望这篇我整理的文章能帮助你们顺利安装,有些安装包下载不了的,可以私聊或在评论区留言。 ** 前期配置 ** sudo apt install ipython sudo apt install ipython3 sudo apt install ipython-pip sudo apt install ipython3-pip sudo apt install qtcreator(不安装cmake) ** 配置环境变量 **
NVIDIA 显卡驱动 TLinux 签名内核
10-06
NVIDIA 显卡驱动 TLinux 签名内核,下载 NVIDIA-Linux-x86_64-418.87.00/kernel 下内核模块文件nvidia-uvm.ko 和 nvidia.ko 之后再将这两个文件下载拷贝到相应的文件夹,depmod更新模块依赖
二进制文件签名_二进制数的签名表示
cumtb2002的博客
07-17 1773
二进制文件签名Prerequisite: Number systems 先决条件: 数字系统 Until now, we have only talked about positive numbers and have already discussed their mathematical operations. But there also exists negative numbers ...
signature:帮助在 Windows 上对应用程序二进制文件)进行数字签名的实用工具
05-31
CodeTitans 签名项目 帮助在 Windows 上对应用程序二进制文件)进行数字签名的实用工具。 概述 作为任何命令行工具、驱动程序或 Visual Studio 插件的作者,可能需要通过在其中放入数字签名来确认其来源。 不幸的是,它不像在Windows上那样容易,并且此实用程序试图弥补这一空白。 它提供了一个易于使用的UI,可以指定二进制文件和证书(已安装或来自.pfx文件)来完成该过程。 它的灵感来自于上关于签署项目的一些问题和关于 VSIX 后处理。 证书 对于开源项目,您可以从获得一个免费的 1 年有效代码签名证书。 用法 图片价值超过一千字。 命名要签名二进制文件 (Ctrl+O) 选择证书(通过使用过滤器查找已安装的证书或指定 .pfx 文件和密码的路径) 单击“签名”按钮 (Ctrl+S) 导航到结果(Ctrl + R) 要求 微软 .NET 框架 4.
英伟达代码签名证书遭窃取?三星也未能幸免,泄露多达190GB文件
sinat_32849897的博客
03-18 1076
点击上方“CSDN精品课”,选择“置顶公众号”第一时间获取精品编程教程【CSDN 编者按】2022年2月26日,英伟达遭到黑客组织Lapsus$攻击,大量员工信息以及近1TB的数据被窃取。...
Nvidianvidia 高级特性MIG详细介绍(一)
最新发布
从善若水的博客
02-07 4502
新的多实例GPU(MIG)功能允许GPU(从NVIDIA Ampere architecture开始)安全地划分为最多7个独立的GPU实例,用于CUDA应用程序,为多个用户提供独立的GPU资源,以实现最佳的GPU利用率。此功能对于工作负载未完全饱和的GPU来说特别有益,因此用户可能希望并行运行不同的工作负载以最大化利用率。使用MIG,每个实例的处理器都有独立和隔离的路径通过整个存储系统,芯片上的crossbar端口,L2 cache,内存控制器和DRAM地址总线都被唯一地分配给一个单独的实例。
二进制与人工智能的交汇
![二进制与人工智能的交汇]...本文首先概述了二进制基础及其在人工智能领域的应用,探讨了二进制编码、数据表示、机器学习模型以及神经网络结构中的二进制应用。接着,文中分析了在AI算法性能优化、硬件加
Android直播开发之旅(16):使用FFmpeg保存网络流到本地文件
老蒋也疯狂
09-27 5099
在Amdroid直播开发之旅(5):详解ffmpeg编译与在Android平台上的移植和Android直播开发之旅(12):初探FFmpeg开源框架文章中,我们分别探讨了FFmpeg的编译移植、FFmpeg框架和相关重要结构体。本文就在此基础上,将详细阐述FFmpeg的裁剪移植,以便剔除不必要的功能,达到为APK"瘦身"的效果,同时,写了一个将网络流保存到本地文件的实战案例,以加深对FFmpeg...
从0开始,设计研发一个全功能通用大数据系统
热门推荐
GitChat
04-12 6万+
在计算机产业发展的70年时间里,每一次的 IT 革命,无不带来:更低廉的价格、更完善的功能、更便捷的使用、更广阔的市场! 大数据经过10年发展,现在已经到了一个重要的分水岭阶段:通用性和兼容性能力成为大数据发展主流,运行的稳定可靠和使用的简捷、易开发、易维护成为产品发展的驱动力,而这正是 Hadoop/Spark 这类积木式模块框架无法满足的。 本 Chat 讲述这样一个通用大数据系统:系从0开始...
程序中存储的已经是机器指令了,为什么还需要操作系统?
wyzzgo的技术博客
07-03 483
操作系统在程序执行时扮演什么角色呢?
linux 二进制程序运行原理
yuezhilangniao的博客
02-10 1613
原文:https://blog.csdn.net/woailincon/article/details/9415935 在Linux等系统的环境中,C语言库及其头文件都是系统的一部分,只要安装了编译工具即可以完成C语言程序的开发。这点与Windows中程序的开发有所不同,Windows中一般需要安装开发包才能进行程序开发。 C语言程序经过编译-汇编-连接,最终生成可执行程序格式。可执行程序中包含两个部分的内容: 程序程序主体(二进制机器代码) 在程序头中包含了供操作系统加载的信息,操作系统根据
uos如何判断软件包签名和二进制程序签名
chenqioulin的博客
12-19 3225
deb包 deepin-deb-verify -f ./com.kinggrid.surread_3.0.0.134_amd64.deb #加上-d参数还可以dump出签名的证书 deepin-deb-verify -f ./com.kinggrid.surread_3.0.0.134_amd64.deb deepin-dep-verify这个程序属于deepin-elf-sign-tool这个包,这个包提供的工具主要用于对deb包和elf格式二进制签名或者校验签名 然后再查看已签名二进制e..
JAVA后端开发面试题大全
火烧云
07-11 1285
JAVA后端开发面试题大全数据库知识MySQL/PostgreSQLRedis计算机基础知识计算机网络数据结构与算法操作系统Java编程技术架构设计其它问题 数据库知识 MySQL/PostgreSQL 数据库三范式及判断、E-R图 innodb和myisam存储引擎的区别 索引分类(主键、唯一索引、全文索引、覆盖索引等等),最左前缀原则,哪些条件无法使用索引 B树、B+树区别,索引为何使用B+树 聚集索引与非聚集索引(使用非聚集索引的查询过程) 事务的ACID(原子性、一致性、隔离性、持久性) 事务隔离
超过1000多程序员面试经历,收集了阿里巴巴面试3年总结的108道Java面试题:MySQL+redis+计算机网络+操作系统+Java编程+架构设计
m0_50180963的博客
10-10 1721
很多同学想进大厂,特别是刚毕业的,以及工作年限短的,不要有任何侥幸心理,踏踏实实的把基础弄扎实了,这是你通往高薪之路的唯一正确姿势。 帮助更多同学进大厂,首先从面试题做起~ 好了,不多说了,直接上正菜。 1.Mysql 1. 数据库三范式及判断、E-R图 2. innodb和myisam存储引擎的区别 3. 索引分类(主键、唯一索引、全文索引、覆盖索引等等),最左前缀原则,哪些条件无法使用索引 4. B树、B+树区别,索引为何使用B+树 5. 聚集索引与非聚集索引(使用非聚集索引的查询过
无法验证驱动程序签名_无法安装最新版NVIDIA显卡驱动,从技术角度该怎么办?...
weixin_39747334的博客
12-04 1万+
一定会有众多网友,饱受无法更新NVIDIA驱动的困扰;你们一定也很奇怪,我凭实力从正规渠道购买的NVIDIA板卡,凭什么无法及时安装NVIDIA官网提供的驱动程序呢?因为无法更新到413以后的版本,一定也有众多因驱动程序“过时”而被《战地五》拒之毫厘的游戏玩家吧?根本原因:1,NVIDIA数字签名未通过驱动审核,2,NVIDIA硬件未通过驱动数字检测处理思路:1,关闭驱动强制验证数字签名功能2,修...
汇编语言入门教程
weixin_30808575的博客
02-20 1898
2018-02-10阮一峰21CTO 学习编程其实就是学高级语言,即那些为人类设计的计算机语言。 但是,计算机不理解高级语言,必须通过编译器转成二进制代码,才能运行。学会高级语言,并不等于理解计算机实际的运行步骤。 计算机真正能够理解的是低级语言,它专门用来控制硬件。汇编语言就是低级语言,直接描述/控制 CPU 的运行。如果你想了解 CPU 到底干了些什么,以及代码的...
BAT后台开发面试85题:网络+MySQL+Redis+Linux+算法+开发语言
u013322876的博客
08-29 574
BAT后台开发面试85题:网络+MySQL+Redis+Linux+算法+开发语言 优知学院 2018-08-28 19:28:00   计算机网络: 1. OSI七层协议、TCP/IP四层协议 2. 各层对应的网络设备(路由器、交换机、网关、网桥、集线器等等),各层对应的协议 3. 数据链路层的CSMA/CD协议,笔试可能会用到 4. IP地址分类,子网划分(笔试常用) 5....
计算机程序是怎样运行
weixin_33825683的博客
10-12 1283
关于《深入理解计算机系统》 “这本书的中译名为“深入理解计算机系统”,我非常,十分,以及百分之一百二十地不满意。我这么说的原因在于这个译法完全扭曲了书的本意。如果直译原书名,应该是类似于“以程序员的视角理解计算机系统”,何来“深入”二字。可能在国内编辑看来,这是讲系统的,用C和汇编语言的,因此很“深入”,但我认为这只能说明国内技术氛围的浅薄。因为事实上,这是一本入门级别的书,这本书其实并不“深入...
Win7系统下的二进制文件查看器使用指南
在日常工作中,二进制文件查看器可以用于多种场景,例如:检查和调试程序的可执行文件(.exe)、分析文本和文档文件的内部编码、查看和修复图像和音频文件的损坏部分、对软件更新的二进制补丁进行审查等。掌握二进制...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值