启动或登录自动启动执行: 隐蔽驱动加载

隐蔽驱动加载（Covert Driver Loading）是通过篡改内核对象和利用合法签名实现驱动级持久化的匿迹技术。攻击者伪造WHQL签名或窃取合法厂商证书对恶意驱动进行签名，通过注册未公开的硬件设备类GUID或寄生在系统驱动依赖链中加载。该技术突破用户态监控的检测边界，在内核层面建立持久化控制通道。

匿迹机制建立在驱动签名伪造与加载路径伪装基础之上。利用泄露的代码签名证书或微软交叉签名机制为恶意驱动附加有效数字签名，绕过驱动强制签名验证（DSE）。加载过程通过合法安装程序（如PnPUtil）或系统更新机制触发，注册为硬件抽象层（HAL）扩展或文件系统过滤驱动。驱动运行后主动清除服务注册表项和加载事件日志，并挂钩内核审计回调函数隐藏自身存在。这种内核级驻留使得传统用户态安全产品难以检测，需借助内核内存取证或硬件虚拟化技术才能发现异常。