iVentoy tool injects malicious certificate and driver during Win install
a year ago
- #windows
- #security
- #kernel-drivers
- iVentoy通过其安装文件分发不安全的Windows内核驱动程序。
- 该工具在内存中解密'iventoy.dat'文件,暴露出潜在恶意内容。
- 提供的Python脚本可手动解密'iventoy.dat'以供分析。
- 解密文件包含病毒/木马,已被VirusTotal和Windows Defender标记。
- iVentoy将自签名的'EV'证书('JemmyLoveJenny EV Root CA0')安装为受信任证书。
- 该工具尝试加载由伪造证书签名的内核驱动程序。
- 此安全漏洞可绕过微软的驱动程序完整性检查。
- GitHub上存在支持创建伪造证书的项目,引发安全担忧。