BYOVD攻击泛滥！火绒专项防护守护系统安全

作者：火绒安全
发布时间：2026-03-23
阅读量：875

案例一

“银狐”组织利用“IP-Guard等行为管理软件”获取用户电脑权限，记录用户电脑的日常操作，实现对用户电脑活动的监控，获取敏感信息，使用户终端安全受到严重威胁和损害。

案例二

攻击者通过精心伪造各类软件的“官网”，通过网络推广等方式诱导用户访问并下载安装这些冒牌软件。下载后的程序会利用二次打包等隐蔽手段，在安装过程中悄无声息地植入恶意代码，并在系统中暗设后门。用户一旦中招，攻击者便能远程操控受害者的电脑，进而窃取账号密码、银行信息、聊天记录等关键隐私数据，导致用户账号被盗、数据泄露，引发财产损失等严重后果。

对抗BYOVD攻击

近年来，BYOVD（自带漏洞驱动）攻击已成为恶意程序对抗安全软件的主流手段，银狐、挖矿、勒索等常见恶意程序频繁利用带有合法数字签名的漏洞驱动，绕过Windows系统强制驱动签名限制，获取系统内核最高权限，结束安全软件进程，对用户系统安全造成严重威胁。

传统防护手段针对该威胁的查杀方案存在明显局限：漏洞驱动本身是正常软件的功能组件，直接查杀会影响用户合规软件的正常使用；如果使用内核级直接对抗，又可能引发用户系统崩溃、无法启动，存在较高的系统风险。

目前，火绒安全软件的漏洞驱动拦截功能，可为用户提供专项防护能力：在不查杀漏洞驱动本身、不影响用户正常软件使用的前提下，提前拦截恶意程序对漏洞驱动的恶意利用，阻断攻击者通过漏洞驱动获取内核权限、对抗安全软件的行为，既保护火绒自身防护能力不被恶意关闭，也守护用户系统的整体安全。

（拦截相关信息请前往微信公众号观看）

该功能在火绒安全个人版6.0最新版本中默认为开启状态；同时火绒仍对被病毒高频利用的高风险漏洞驱动保持查杀处置，进一步强化防护效果。若用户发现自身可信程序的驱动被该功能拦截，可将其加入例外名单放行。

火绒安全工程师以被恶意程序高频利用的典型漏洞驱动WinRing0.sys为例，演示了该功能的实际防护效果。

驱动功能相关截图

XMRig源码相关截图

挖矿病毒行为相关截图

示例样本SHA1：D45FBC0E01DDD64B18BD2F5F171F41CA3BCB88C0

WinRing0.sys是一款开源Windows驱动程序，本身无恶意代码，核心作用是为用户态程序提供底层硬件访问能力，支持访问I/O端口、MSR 寄存器、PCI配置空间、物理内存等，常被用于硬件信息读取、传感器监测、底层调试等合规场景，例如知名挖矿工具XMRig便利用该驱动特性，通过调控MSR寄存器提升挖矿性能。因其具备的内核级访问能力，该驱动常被挖矿、勒索、银狐等恶意程序利用实施BYOVD攻击。恶意程序通常会将加密后的该驱动释放到系统临时目录，解密后通过创建系统服务加载驱动，利用其漏洞结束安全软件进程，致盲系统防护后，执行后续恶意操作。

针对此类恶意利用行为，火绒漏洞驱动拦截功能可直接阻止该驱动的恶意加载，向用户同步拦截提示及相关进程、驱动文件路径信息。对被频繁利用的漏洞驱动，火绒工程师会在研判后决定是否同步进行查杀处置，以进一步加强系统安全防护。