即使2016年往后的无效签名证书，仍能在新版Windows 10上加载

ANY.LNK

神龟Turmi 发表于 2022-7-28 00:51
windows不校验sha1签名的有效期 不伪造也可以用（至少对驱动可以 UAC没试过）

如果这个驱动校验的不是这里的话，那么Windows是如何判断这个驱动可以加载的？我没有找到这个签名的颁发日期的描述，不知道Windows是如何判断这个驱动签名是在2016年前还是之后

PS：https://docs.microsoft.com/zh-cn ... ws-vista-and-later-写的是2015年前

神龟Turmi

ANY.LNK 发表于 2022-7-28 01:05
如果这个驱动校验的不是这里的话，那么Windows是如何判断这个驱动可以加载的？我没有找到这个签名的颁发 ...

2015年7月29日之前颁发的最终实体证书，并不是时间戳日期
这张签名的颁发日期是2012年12月6日

ANY.LNK

神龟Turmi 发表于 2022-7-28 01:08
2015年7月29日之前颁发的最终实体证书，并不是时间戳日期
这张签名的颁发日期是2012年12月6日

所以有效期开始的那天就是颁发的那天了，对吧？

另外，SHA1有效期到哪里Windows不验证但还是会看有效期最开始的那个日期（也就是颁发日期），对吧？

00006666

ANY.LNK 发表于 2022-7-28 01:19
所以有效期开始的那天就是颁发的那天了，对吧？

另外，SHA1有效期到哪里Windows不验证但还是会看有效 ...

不过这样的话，貌似就没有伪造时间戳的必要了，没有时间戳似乎也能加载……

以前域联那种是没加时间戳会显示为被吊销的签名

神龟Turmi

ANY.LNK 发表于 2022-7-28 01:19
所以有效期开始的那天就是颁发的那天了，对吧？

另外，SHA1有效期到哪里Windows不验证但还是会看有效 ...

对，不验证sha1的有效期，但是按2015年7月29日作为最终期限，晚于这天颁发的sha1不在例外范围（如果开启了安全启动且没有附带whql无法加载）
实际上大多数CA在这天之后也不颁发sha1 codesign了，之后基本只有sha256 codesign
这个限制有和没有区别不大

ANY.LNK

00006666 发表于 2022-7-28 01:25
不过这样的话，貌似就没有伪造时间戳的必要了，没有时间戳似乎也能加载……

以前域联那种是没加时间戳 ...

翻了下以前的测试记录，不带时间戳但是有颁发日期的样本也是可以加载的。域联那个好像是因为被盗用太多而被官方吊销了，而不是时间戳的问题

神龟Turmi

00006666 发表于 2022-7-28 01:25
不过这样的话，貌似就没有伪造时间戳的必要了，没有时间戳似乎也能加载……

以前域联那种是没加时间戳 ...

因为域联那张是sha256的？
我没注意 但是从你的描述来看 这像是一张sha256签名
sha256签名如果时间戳晚于过期日期就会失效

00006666

ANY.LNK 发表于 2022-7-28 01:31
翻了下以前的测试记录，不带时间戳但是有颁发日期的样本也是可以加载的。域联那个好像是因为被盗用太多而 ...

域联加了伪造的时间戳(时间戳的时间为有效期内)，就不会显示为被吊销的签名，而是已过期的签名

神龟Turmi

00006666 发表于 2022-7-28 01:32
域联加了伪造的时间戳(时间戳的时间为有效期内)，就不会显示为被吊销的签名，而是已过期的签名

那说明了两件事
1.这是一张sha256签名
2.这张签名在过期之后才被吊销

ANY.LNK

神龟Turmi 发表于 2022-7-28 01:26
对，不验证sha1的有效期，但是按2015年7月29日作为最终期限，晚于这天颁发的sha1不在例外范围（如果开启 ...

似乎晚于这个时间的不带WHQL但有SHA256签名（开启安全启动）的证书也能加载（例如Processhacker的驱动）

2.供应商或驱动程序开发人员可以从 Microsoft 授权证书颁发机构 (CA) 获取软件发布证书 (SPC) ，并使用它自行对内核模式和用户模式二进制文件进行签名。

以及

为了防止系统无法正确启动，启动驱动程序不会被阻止，但程序兼容性助手会删除它们。

这也许是另一种某些例外驱动程序不会被完全阻止的原因吧