默认设置下，在 Windows 系统安装的任何驱动均需要有 Microsoft 的 | 层叠 - The Cascading

默认设置下，在 Windows 系统安装的任何驱动均需要有 Microsoft 的签名。六月左右，一个被称为 Netfilter 的恶意驱动程序设法拿到了 Microsoft 的数字签名 [1]。近日，BitDefender 发现一个被称为 FiveSys 的 rootkit 恶意驱动程序也拿到了 Microsoft 的数字签名。目前 Microsoft 已经撤回 (revoke) 对此程序的签名。

此 rootkit 的主要目的是监听用户电脑上的部分流量导向。它同时也安装了名为 HainanWebpox 的证书以监视加密流量。Bitdefender 的研究人员认为 FiveSys 来自中国，并且面向几款国内游戏（例如剑网三）。

有兴趣的订户可以查看 Bitdefender 发布的白皮书。

https://www.bitdefender.com/blog/hotforsecurity/the-emergence-of-the-fivesys-rootkit-a-malicious-driver-signed-by-microsoft/

1. https://www.cnbeta.com/articles/tech/1145761.htm