R0 CREW

Современные руткиты

Добрый день! Как современные руткиты подгружают в ядро свои драйверы без подписи? Или как они их подписывают?

Через уязвимости в легитимных драйверах либо подпись ликнутыми сертификатами. Сам не проверял, но вроде как Kernel-Bridge так и работает.
Подробнее

1 Like

Чаще всего с помощью сертов, на эксплойте был топик, попробуй там поискать, может найдешь :alien: