win10禁用驱动程序强制签名_勒索软件利用 Windows 驱动程序漏洞关闭防病毒软件 | 每日安全资讯...

最新推荐文章于 2022-12-15 10:43:30 发布
最新推荐文章于 2022-12-15 10:43:30 发布
阅读量199 收藏
点赞数
文章标签: win10禁用驱动程序强制签名 windows安全警报怎么关闭 windows文件保护 关闭windows安全警报
da82f5090a037f2cf203bc9dc6828fb5.png攻击基于 2018 年在技嘉驱动程序中发现的安全漏洞,该安全漏洞在 CVE-2018-19320 中有详细说明。 作者/来源:安华金和

安全公司 Sophos 警告说,新的勒索软件攻击使用了易受攻击的技嘉驱动程序,试图闯入 Windows 系统,然后禁用正在运行的安全软件。该攻击基于 2018 年在技嘉驱动程序中发现的安全漏洞,该安全漏洞在 CVE-2018-19320 中有详细说明。

该驱动程序在技嘉确认该错误后已被废弃,它允许恶意攻击者利用此漏洞来尝试访问设备并部署第二个驱动程序,目的是杀死系统当中的杀毒产品。Sophos 表示,第二个驱动程序会不遗余力地杀死属于端点安全产品的进程和文件,绕过篡改保护,使勒索软件能够在不受干扰的情况下进行攻击。这是安全研究人员第一次观察到勒索软件运送一个微软联合签名的第三方驱动程序来修补内存中的 Windows 内核,以加载自己未签名的恶意驱动程序,并从内核空间中删除安全应用程序

这次黑客使用的勒索软件称为 RobbinHood,它要求受害者付款以解锁其文件。赎金记录上写着,如果他们不付款,价格每天就会增加 1 万美元。利用技嘉 gdrv.sys 驱动程序的可执行文件称为 Steel.exe,它提取 Windows temp 文件夹中名为 ROBNR.exe 的文件,该文件依次提取两个不同的驱动程序,一个由 Gigabyte 开发(易受攻击),另一个用于禁用受损设备上的防病毒软件。一旦该漏洞被利用,Windows 驱动程序签名强制将被禁用,从而允许启动恶意驱动程序。

Sophos表示,除了在勒索软件攻击中保持安全的常用做法外,没有什么可以帮助用户阻止该漏洞被黑客利用。

weixin_39592315
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
gdrv-loader:使用易受攻击的技嘉驱动程序的内核驱动程序加载程序(https
05-26
gdrv加载器 内核驱动程序加载器使用易受攻击的千兆字节驱动程序( )加载未签名驱动程序。 用法 以管理员身份打开命令提示符 gdrv-loader.exe gdrv.sys driver.sys加载未签名驱动程序 gdrv-loader.exe driver.sys卸载未签名驱动程序
win10下驱动进程保护
Anansi的博客
01-31 1万+
网上可以查到很多WIN7下的驱动后台进程保护代码,而那些代码在WIN10下并不适用,故写此篇来文章来总结我在编写WIN10下后台进程保护驱动程序的过程与经验 说起进程关闭,通常会用三种方法: 1.利用进程管理器关闭 2.打开CMD,调用taskkill指令关闭 3.调用taskkill加上-t参数,进行强行进程关闭 ...
VT win10x64 21H2 基础框架
02-27
VT win10x64 21H2 基础框架
win7、win10关闭驱动签名,进入驱动测试模式,以及常见初级问题的解决
zhaopeng01zp的博客
12-15 1万+
④ 重启系统使得②③设置生效。某些系统会屏蔽这个水印,此时可以通过命令【bcdedit /enum】确认testsigning的值是否为Yes以判断系统当前是否处于测试模式。(1)管理员权限运行cmd,输入bcdedit /set testsigning on和bcdedit /Debug on,开启测试模式和调试模式。② 输入命令【bcdedit /set testsigning on】 开启系统测试模式。方式三:批处理文件实现:管理员权限打开win7-win10驱动测试模式。
计算机关闭测试模式,win10怎么开启及关闭测试模式 win10测试模式对电脑有影响吗...
weixin_29513663的博客
08-02 8440
有时候我们需要检测驱动,要开启测试模式运行,这样方便于我们排除系统出现的故障,不过有很多的用户不知道怎么开启测试模式,没关系,小编这就教大家如何开启和关闭win10系统测试模式,大家有需要可以参照下面的方法开启即可。win10怎么开启及关闭测试模式:开启1、在win10左下角搜索框输入”命令”文字,这时会弹出命令提示符。2、鼠标右键,以管理员身份运行:3、在“命令行提示符”输入“bcdedit /...
Windows11系统中禁用驱动程序强制签名的具体操作方法和步骤.docx
01-06
Windows 11操作系统中,驱动程序强制签名是一项安全特性,它确保安装的驱动程序已经通过微软或制造商的验证,从而防止恶意软件通过未签名驱动潜入系统。然而,这可能会导致用户在尝试安装未签名的自定义或第三方...
Windows10系统中禁用驱动程序强制签名的具体操作方法和步骤.docx
最新发布
05-11
Windows 10操作系统中,驱动程序强制签名是一项安全特性,旨在确保安装的驱动程序来自可信的源并已通过微软的验证。然而,这可能会阻止一些未签名的自定义驱动程序或开发中的驱动程序安装。如果需要安装这些未签名...
完美解决Win7驱动程序签名强制Windows无法验证此设备所需的驱动程序的数字签名
03-31
解决win7 64位驱动程序签名强制问题,即在设备管理器,设备驱动呈现黄色感叹号,提示为Windows无法验证此设备所需的驱动程序的数字签名。。。(代码 52) 网上教程:重启按F8 选择禁用驱动程序签名强制,但每次重启...
完美解决win7驱动程序强制签名.rar
03-04
Windows 7中,微软发布了一个KB3033929补丁,该补丁允许用户在特定情况下临时禁用驱动程序签名验证。"必装-KB3033929-x64驱动数字签名补丁.msu"就是这个补丁的文件,它适用于64位版本的Windows 7系统。安装这个...
Win10系统不能发送无纸传真-禁用驱动程序强制签名.docx
04-15
傲发无纸传真不能发送传真,是因为WIN 10系统启用驱动程序强制签名的原因,导致不能安装到发送传真的打印机,按以下操作把WIN 10的驱动程序强制签名禁用,再把傲发无纸传真客户端删掉,重装就可以了。 Win10系统刚...
永久启动和禁用win10驱动签名验证脚本
10-11
永久启动和禁用win10驱动签名验证bat脚本
记一次驱动在win10 1903 x64下的蓝屏调试过程
种豆农夫的技术备忘录
06-28 1706
背景 我们的产品有个驱动,用于做安全防护的,这个驱动已经稳定运行几年了,分32位和64位,虽然中间也偶有蓝屏,但都是新的os系统或大补丁发布后一些硬编码的偏移的问题,改掉这些问题后就好了。 但这次收到用户反馈在1903的系统上会蓝屏,然后我们搭建了两个测试环境,系统都是 win10 x64 1903,I7 CPU的系统回重现蓝屏,另一台E系列的cpu的系统运行正常。 而蓝屏发生时是挂在系统内部函数...
Win10禁用驱动签名,进入测试模式
Langeldep的专栏
09-16 2847
点击“开始”->“设置”, 打开 “windows设置” 对话框: 在搜索框中输入 “更改高级启动选项”, 点击“高级启动”下面的“立即重新启动” 按钮, 然后等待片刻, 会打开一个窗口 “选择一个选项”, 我们选择 “疑难解答”->"高级选项"->“启动设置”, 点击“重启”按钮 ,然后会进入一个 “启动设置” 列表, 第七项是 “禁用驱动程序强制签名” , 我们按F7或者数字键7就可。 ...
华硕、技嘉驱动程序曝权限提升、代码执行漏洞
mozhe_的博客
12-21 974
据外媒BleepingComputer报道,来自华硕(ASUS)和技嘉(GIGABYTE)的四个驱动程序均存在多个漏洞,而攻击者可以利用这些漏洞来提升权限,以及执行任意代码。 报道称,共有7个影响到5款软件产品的漏洞被发现。此外,发现这些漏洞的研究人员已经针对每一款软件产品都编写了漏洞利用代码,而其中多个漏洞到目前为止仍然没有被修复。 其中两个易受攻击的驱动程序是由华硕的Aura Sync软件...
Windows如何彻底删除.sys后缀的流氓文件
热门推荐
weixin_43914632的博客
06-19 6万+
1.首先将.sys文件后缀改为.txt 2.重启Windows 3.打开修改后的以.txt结尾的文件即可删除 原理:.sys文件是开机自启,将其改为.txt文件结尾windows无法识别,从而可以删除
linux 网卡事件,一种Linux系统的网卡错误事件收集方法及系统与流程
weixin_34260071的博客
05-05 228
技术特征:1.一种Linux系统的网卡错误事件收集方法,其特征在于,包括:对Linux系统的网卡进行实时监测,得到相应的网卡实时信息;判断所述网卡实时信息中是否包含用于指示所述网卡发生错误事件的信息,如果有,则从所述网卡实时信息中提取出相应的错误事件实时信息;将所述错误事件实时信息存储至预设的错误事件信息数据库中。2.根据权利要求1所述的Linux系统的网卡错误事件收集方法,其特征在于,所述对Li...
游戏安全之借刀杀人
Hades的博客
08-08 1302
游戏安全之借刀杀人 0x0简介 我们知道现在大多数网络游戏都是有游戏保护的,由于游戏保护的原因当我们使用第三方程序去操作(读写)游戏进程内存的时候,会提示没有读写权限。 这是因为,我们在打开游戏进程(OpenProcess)获取句柄(Handle)的时候,游戏的驱动保护注册有回调过滤我们的句柄权限。 然而在Windows下是有一些系统进程必须与其他进程进行交互的,所以这些系统进程会保存有被...
RAR漏洞复现 CVE-2018-20250
R4bbit
03-07 6114
前言: 最近 Check Point安全团队又发现了WinRAR的四个漏洞 ACE文件验证逻辑绕过漏洞 [CVE-2018-20250] ACE文件名逻辑验证绕过漏 [CVE-2018-20251] ACE/RAR文件越界写入漏洞 [CVE-2018-20252] LHA/LZH文件越界写入漏洞 [CVE-2018-20253] 网上流传最多的技术复现细节就是这个ACE文件验证逻辑绕过...
RobbinHood:利用Windows驱动程序漏洞关闭杀软的勒索软件
zz_strive_2012的专栏
05-25 742
近期,Sophos安全团队发现了一起新型勒索软件攻击事件,该勒索软件能通过合法且经过数字签名的硬件驱动程序,在恶意文件加密部分执行之前禁用目标计算机中的安全产品。 该驱动程序曾由台湾主板制造商技嘉(Gigabyte)使用(当前已弃用),它具有一个已知的漏洞CVE-2018-19320,利用漏洞,攻击者能够尝试访问设备并部署第二个驱动程序,进而杀死系统中的杀毒产品。 该漏洞于2018年被发现,技嘉曾否认此漏洞并表示其产品不受影响,后来才决定撤销此驱动程序。但由于用于对驱动程序进行数字签名的Verisig
win10强制禁用驱动程序签名
04-12
答:你可以通过以下步骤解决这个问题: 1. 在 Windows 10 中按下 Win+I 键,打开“设置”窗口。...8. 这将禁用驱动程序签名强制执行,让你在 Windows 10 上安装未经签名驱动程序。 希望这可以帮
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值