Добрый день! Как современные руткиты подгружают в ядро свои драйверы без подписи? Или как они их подписывают?
Краденными цифровыми подписями. Или с помощью эксплойтов в старых уязвимых, но подписанных дровах. Плюс через буткиты, биоскиты, фирмварекиты и другие страшные слова, которых никто в живой природе не видел.
они делают так что ядро вообще не знает об их присутствии, можно спалить процессорным временем или еще чемто - но тут я не эксперт, это вам лучше к HoShiMin обратиться. он и гипервизоры делает.
Думаю в 2021 уже нет смысла подгружать вредоносный драйвер с диска. SecureBoot убил руткиты. Осталась только юзермодная малварь и отдельные закрепления в системе, которые разрабатываются под ключ. Я могу ошибаться. Но в целом вроде ситуация такая. --- Сообщение объединено, 7 янв 2021 --- Да были уже UEFI буткиты in the wild. И это только те случаи, о которых стало известно широкой общественности. 2018 - "First UEFI rootkit" https://www.welivesecurity.com/2018/09/27/lojax-first-uefi-rootkit-found-wild-courtesy-sednit-group/
Современные руткиты прячут гигабайты программного кода, в том числе и искусственный интеллект, обрабатывающий украденные документы и информацию 'на месте'., перед передачей. Палятся едва-заметными невооружённому глазу ускользающими байтами поправок к ядру и его памяти.