<div dir="ltr">Hello,<br>I know this error is well known but I'm beyond the point of re-installing the driver and such, I'm more trying to find an "officially supported" way to avoid this.<br><br>We are developing an Anti-malware (minifilter based) and I've noticed when the VBox driver is loaded AFTER our minifilter it works fine. When it's the opposite (VBox BEFORE our filter) the error occurs because Virtualbox is probably enumerating \Driver directory and compares to a whitelist.<br><br>We don't have anything injecting DLLs into it, so I have no idea what is the requirement for VirtualBox not detecting our driver (also it's EV-signed and by Microsoft portal as well).<br><br>The logs isn't really helpful to me as there's no mention of what test failed, nor mention of our minifilter (but I'm sure it's the issue, by playing with start/stop)<br><br>Has anyone from Antivirus company ever bypassed this ?<br>If this is private information, can anyone contact me directly to work this out ?<br><br>Thanks,<br>Adlice Software<br><br>2ef4.43c: NtOpenDirectoryObject failed on \Driver: 0xc0000022<br>2ef4.43c: supR3HardenedWinFindAdversaries: 0x0<br>2ef4.43c: supR3HardenedWinInitAppBin(0x0): '\Device\HarddiskVolume3\Program Files\Oracle\VirtualBox'<br>2ef4.43c: Calling main()<br>2ef4.43c: SUPR3HardenedMain: pszProgName=VirtualBoxVM fFlags=0x2<br>2ef4.43c: supR3HardenedWinInitAppBin(0x2): '\Device\HarddiskVolume3\Program Files\Oracle\VirtualBox'<br>2ef4.43c: '\Device\HarddiskVolume3\Program Files\Oracle\VirtualBox\VirtualBoxVM.exe' has no imports<br>2ef4.43c: supHardenedWinVerifyImageByHandle: -> 24202 (\Device\HarddiskVolume3\Program Files\Oracle\VirtualBox\VirtualBoxVM.exe)<br>2ef4.43c: SUPR3HardenedMain: Respawn #2<br>2ef4.43c: supR3HardNtEnableThreadCreationEx:<br>2ef4.43c: supR3HardenedDllNotificationCallback: load 00007ffecc270000 LB 0x00120000 C:\WINDOWS\System32\RPCRT4.dll [fFlags=0x0]<br>2ef4.43c: supHardenedWinVerifyImageByHandle: -> 0 (\Device\HarddiskVolume3\Windows\System32\rpcrt4.dll)<br>2ef4.43c: supR3HardenedWinVerifyCacheInsert: \Device\HarddiskVolume3\Windows\System32\rpcrt4.dll<br>2ef4.43c: supR3HardenedDllNotificationCallback: load 00007ffecd4b0000 LB 0x00097000 C:\WINDOWS\System32\sechost.dll [fFlags=0x0]<br>2ef4.43c: supR3HardenedWinVerifyCacheScheduleImports: Import todo: #11 'rpcrt4.dll'.<br>2ef4.43c: supHardenedWinVerifyImageByHandle: -> 0 (\Device\HarddiskVolume3\Windows\System32\sechost.dll)<br>2ef4.43c: supR3HardenedWinVerifyCacheInsert: \Device\HarddiskVolume3\Windows\System32\sechost.dll<br>2ef4.43c: '\Device\HarddiskVolume3\Windows\System32\ntdll.dll' has no imports<br>2ef4.43c: supHardenedWinVerifyImageByHandle: -> 0 (\Device\HarddiskVolume3\Windows\System32\ntdll.dll)<br>2ef4.43c: supR3HardenedWinVerifyCacheInsert: \Device\HarddiskVolume3\Windows\System32\ntdll.dll<br>2ef4.43c: supR3HardenedWinVerifyCacheProcessImportTodos: Processing 'rpcrt4.dll'...<br>2ef4.43c: supR3HardenedWinVerifyCacheProcessImportTodos: 'rpcrt4.dll' -> '\Device\HarddiskVolume3\Windows\System32\rpcrt4.dll' [rcNtRedir=0xc0150008]<br>2ef4.43c: supR3HardenedScreenImage/Imports: cache hit (VINF_SUCCESS) on \Device\HarddiskVolume3\Windows\System32\rpcrt4.dll [lacks WinVerifyTrust]<br>2ef4.43c: supR3HardenedMonitor_LdrLoadDll: pName=C:\WINDOWS\System32\ntdll.dll (Input=ntdll.dll, rcNtResolve=0xc0150008) *pfFlags=0x0 pwszSearchPath=0000000000000801:<flags> [calling]<br>2ef4.43c: supR3HardenedMonitor_LdrLoadDll: returns rcNt=0x0 hMod=00007ffece100000 'C:\WINDOWS\System32\ntdll.dll'<br>2ef4.43c: Error -104 in supR3HardenedWinReSpawn! (enmWhat=5)<br>2ef4.43c: Error relaunching VirtualBox VM process: 5<br>Command line: '60eaff78-4bdd-042d-2e72-669728efd737-suplib-3rdchild --comment "Windows 10x64 - 1903" --startvm bac20d47-9bce-4e8b-ba5e-61685372e1ec --no-startvm-errormsgbox "--sup-hardening-log=E:\VBox\Test\Windows 10x64 - 1903\Logs\VBoxHardening.log"'<br clear="all"><div><br></div>-- <br><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><font color="#336666"><font size="2"><b>Tigzy</b></font></font><font color="#336666"><font size="2"><b><br></b></font></font></div><div><font color="#336666"><i><font size="2">Malware analyst. Reverser. </font></i></font><i><font size="2"><br></font></i></div><div><i><font color="#336666"><font size="2">C/C++ Developer</font></font></i><b><font size="2"><br></font></b></div><div><i><a href="https://twitter.com/TigzyRK" target="_blank"><font size="2">@tigzyRK</font></a><font size="2"> - </font><a href="http://www.adlice.com/" target="_blank">adlice.com</a><br></i></div></div></div></div>