楼主: ANY.LNK
收起左侧

[讨论] 即使2016年往后的无效签名证书,仍能在新版Windows 10上加载

[复制链接]
ANY.LNK
 楼主| 发表于 2022-7-28 01:05:25 | 显示全部楼层
神龟Turmi 发表于 2022-7-28 00:51
windows不校验sha1签名的有效期 不伪造也可以用(至少对驱动可以 UAC没试过)

如果这个驱动校验的不是这里的话,那么Windows是如何判断这个驱动可以加载的?我没有找到这个签名的颁发日期的描述,不知道Windows是如何判断这个驱动签名是在2016年前还是之后

PS:https://docs.microsoft.com/zh-cn ... ws-vista-and-later-写的是2015年前
神龟Turmi
发表于 2022-7-28 01:08:49 | 显示全部楼层
ANY.LNK 发表于 2022-7-28 01:05
如果这个驱动校验的不是这里的话,那么Windows是如何判断这个驱动可以加载的?我没有找到这个签名的颁发 ...

2015年7月29日之前颁发的最终实体证书,并不是时间戳日期
这张签名的颁发日期是2012年12月6日
ANY.LNK
 楼主| 发表于 2022-7-28 01:19:59 | 显示全部楼层
神龟Turmi 发表于 2022-7-28 01:08
2015年7月29日之前颁发的最终实体证书,并不是时间戳日期
这张签名的颁发日期是2012年12月6日

所以有效期开始的那天就是颁发的那天了,对吧?

另外,SHA1有效期到哪里Windows不验证但还是会看有效期最开始的那个日期(也就是颁发日期),对吧?
00006666
发表于 2022-7-28 01:25:26 | 显示全部楼层
ANY.LNK 发表于 2022-7-28 01:19
所以有效期开始的那天就是颁发的那天了,对吧?

另外,SHA1有效期到哪里Windows不验证但还是会看有效 ...

不过这样的话,貌似就没有伪造时间戳的必要了,没有时间戳似乎也能加载……

以前域联那种是没加时间戳会显示为被吊销的签名
神龟Turmi
发表于 2022-7-28 01:26:06 | 显示全部楼层
ANY.LNK 发表于 2022-7-28 01:19
所以有效期开始的那天就是颁发的那天了,对吧?

另外,SHA1有效期到哪里Windows不验证但还是会看有效 ...

对,不验证sha1的有效期,但是按2015年7月29日作为最终期限,晚于这天颁发的sha1不在例外范围(如果开启了安全启动且没有附带whql无法加载)
实际上大多数CA在这天之后也不颁发sha1 codesign了,之后基本只有sha256 codesign
这个限制有和没有区别不大

评分

参与人数 1人气 +2 收起 理由
ANY.LNK + 2 感谢解答: )

查看全部评分

ANY.LNK
 楼主| 发表于 2022-7-28 01:31:17 | 显示全部楼层
00006666 发表于 2022-7-28 01:25
不过这样的话,貌似就没有伪造时间戳的必要了,没有时间戳似乎也能加载……

以前域联那种是没加时间戳 ...

翻了下以前的测试记录,不带时间戳但是有颁发日期的样本也是可以加载的。域联那个好像是因为被盗用太多而被官方吊销了,而不是时间戳的问题
神龟Turmi
发表于 2022-7-28 01:31:37 | 显示全部楼层
00006666 发表于 2022-7-28 01:25
不过这样的话,貌似就没有伪造时间戳的必要了,没有时间戳似乎也能加载……

以前域联那种是没加时间戳 ...

因为域联那张是sha256的?
我没注意 但是从你的描述来看 这像是一张sha256签名
sha256签名如果时间戳晚于过期日期就会失效
00006666
发表于 2022-7-28 01:32:35 | 显示全部楼层
ANY.LNK 发表于 2022-7-28 01:31
翻了下以前的测试记录,不带时间戳但是有颁发日期的样本也是可以加载的。域联那个好像是因为被盗用太多而 ...

域联加了伪造的时间戳(时间戳的时间为有效期内),就不会显示为被吊销的签名,而是已过期的签名
神龟Turmi
发表于 2022-7-28 01:33:37 | 显示全部楼层
00006666 发表于 2022-7-28 01:32
域联加了伪造的时间戳(时间戳的时间为有效期内),就不会显示为被吊销的签名,而是已过期的签名

那说明了两件事
1.这是一张sha256签名
2.这张签名在过期之后才被吊销

评分

参与人数 1人气 +2 收起 理由
00006666 + 2

查看全部评分

ANY.LNK
 楼主| 发表于 2022-7-28 01:37:57 | 显示全部楼层
神龟Turmi 发表于 2022-7-28 01:26
对,不验证sha1的有效期,但是按2015年7月29日作为最终期限,晚于这天颁发的sha1不在例外范围(如果开启 ...

似乎晚于这个时间的不带WHQL但有SHA256签名(开启安全启动)的证书也能加载(例如Processhacker的驱动)
2.供应商或驱动程序开发人员可以从 Microsoft 授权证书颁发机构 (CA) 获取软件发布证书 (SPC) ,并使用它自行对内核模式和用户模式二进制文件进行签名。

以及
为了防止系统无法正确启动,启动驱动程序不会被阻止,但程序兼容性助手会删除它们。

这也许是另一种某些例外驱动程序不会被完全阻止的原因吧
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 09:47 , Processed in 0.098096 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表