一、内核驱动在机器里有着很高的权限
二、与一个传统的反病毒软件的权限相同
三、相对于用户层来说,对于内核病毒的解决措施(mitigations)和方案更少
四、反病毒软件对于Rootkit的动作可见度较差
五、反病毒软件容易忽略驱动
利用合法的驱动有很多的(quite a few)好处:
1.简单地修改就可以做到提权
2.找到一个有漏洞的驱动是相对比较简单(relatively trivial)的一件事
3.不容易被检测到
缺点(DrawBack)就是:依赖操作系统,兼容性比较差,需要去研究让自己的利用更加稳定的方法。不然容易蓝屏。
滥用泄露的签名的好处:
一、有不少泄露的签名可以从网上下载
二、可以匿名(deanonymization)购买一个合法签名
滥用泄露的签名的坏处:
一、泄露的签名不久的未来就会被发现
二、如果签名时间早于(after)2015年7月29,在windows10的一些安装secure boot的版本中可能会失效
大多数情况下,微软并不在乎签名是否过期或者被撤销(revoked),都是可以正常加载的。