通過Nvidia簽名的二進位制檔案執行系統命令

前段時間，在powermemory上工作時，我在其中一台電腦上發現了乙個由nvidia配置的隱藏帳戶（

然後，當我看到hexacorn文章（ -land /）時，我非常開心。

我開始尋找nvidia其他類似的可執行系統命令，以及nvidia的合法性。

我發現這乙個：

執行它，之後看他的引數很有希望執行命令。

命令列表包括hexacorn發現的：

以下這些命令的說明：

· decrement: 以數字方式減少變數

· increment: 以數字方式增加乙個變數

· displaycontrolpanel：顯示有關顯示控制面板解除安裝的訊息。

· asktocloseandexitifrunning：給定應用程式名稱，列舉所有正在執行的應用程式以進行匹配。如果找到，則提示使用者關閉應用程式。

· removedriverstore：使用setupdi呼叫從系統中刪除與給定描述相匹配的任何裝置。 enum可以是（pci，eisa等），hwid通常是ven_10de，裝置型別可以是display，hdc，media，net，system。

· removedeviceex：使用setupdi呼叫從系統中刪除與給定描述相匹配的任何裝置。 enum可以是（pci，eisa等），hwid通常是ven_10de，裝置型別可以是display，hdc，media，net，system。

· disabledevice：使用setupdi呼叫禁用與系統中給定描述相匹配的任何裝置。 enum可以是（pci，eisa等），hwid通常是ven_10de，裝置型別可以是display，hdc，media，net，system。

· removeupperfilter：從指定它的任何裝置中刪除過濾器服務。

· stopservice：解除安裝給定的服務名稱。

· rmstring：如果找到，則從原始字串中刪除該字串，並將結果儲存到新變數中。

· delall：刪除給定的資料夾，如果它存在，它也刪除資料夾內的內容。

· displaycontrolpanel：顯示有關顯示控制面板解除安裝的訊息。

· asktocloseandexitifrunning：給定應用程式名稱，列舉所有正在執行的應用程式以進行匹配。如果找到，則提示使用者關閉應用程式。

· removeupperfilter：從指定它的任何裝置中刪除過濾器服務。

· stopservice：解除安裝給定的服務名稱。

· rmstring：如果找到，則從原始字串中刪除該字串，並將結果儲存到新變數中。

· delall：刪除給定的資料夾，如果它存在，它也刪除資料夾內的內容。

執行 calc.exe

檢視資訊顯示我們該檔案需要管理員許可權（與hexacorn描述的二進位制檔案nvuhda.exe和nvuhda6.exe完全相同）。

sigcheck -m nvudisp.exe

這是乙個有意義的研究，攻擊者可以用來打破標準的edr檢測規則。

原文發布時間為：2018-05-24