即使2016年往后的无效签名证书，仍能在新版Windows 10上加载

神龟Turmi

ANY.LNK 发表于 2022-7-28 01:37
似乎晚于这个时间的不带WHQL但有SHA256签名（开启安全启动）的证书也能加载（例如Processhacker的驱动）
...

必须WHQL而不是交叉了微软根的第三方CA
这个规定是win10某个版本开始才有的
具体哪个版本我不记得了（但是你发的那个文档里大概率会有写）
另外 从老版本升级上去而不是全新安装的win10也是例外范围 即使开启了安全启动也可以加载无WHQL驱动

Jirehlov1234

00006666 发表于 2022-7-27 15:26
卡巴斯基可能默认不拦截驱动加载，要手动开HIPS

卡巴没有拦截加驱的功能，hips也不行。。。

wwwab

Jirehlov1234 发表于 2022-7-28 06:52
卡巴没有拦截加驱的功能，hips也不行。。。

在特定条件下PDM可能会杀PDM:Suspicious.Driver.Installation.a

Jirehlov1234

wwwab 发表于 2022-7-27 23:19
在特定条件下PDM可能会杀PDM:Suspicious.Driver.Installation.a

少打了主语，我是说HIPS不能拦截加驱
虽然可以通过干涉注册表操作和文件操作来阻止，但并不是真的拦截加驱

00006666

Jirehlov1234 发表于 2022-7-28 07:31
少打了主语，我是说HIPS不能拦截加驱
虽然可以通过干涉注册表操作和文件操作来阻止，但并不是真的拦截加 ...

所以这种不就类似于一种比较严重的安全漏洞……，恶意软件直接加个驱动不就可以安排掉卡巴斯基了……

wowocock

应该是出于兼容性考虑，其实微软内部有检测的，只不过估计不敢用，急救箱强力模式内部也使用了微软的这个功能，可以禁止任何无效签名驱动的加载，不过也因为兼容性考虑没起作用。

tdsskiller

00006666 发表于 2022-7-28 09:23
所以这种不就类似于一种比较严重的安全漏洞……，恶意软件直接加个驱动不就可以安排掉卡巴斯基了……

统一回复一下楼主和各个老哥：看雪有大手子测试过的，什么过期签名能加载，什么过期签名不能加载，这里面有暗坑
大手子你们懂得，就是那些玩黑灰产的，统称大手子

wowocock

tdsskiller 发表于 2022-7-28 10:26
统一回复一下楼主和各个老哥：看雪有大手子测试过的，什么过期签名能加载，什么过期签名不能加载，这里面 ...

Win10开启 Secure Boot状态下，驱动想跑起来有两种方式：

1.使用微软WHQL签名

2.使用 2013-2015年签发的代码签名（这里是个例外，官网有说明，能跑起来，例如上海域连和 Zhuhai liangcheng签名都可以）



Win10关闭 Secure Boot状态下

1.使用微软WHQL签名

2.使用sha1或sha256的签名都能正常跑。楼主现在应该是这种情况



Win7系统：

1. sha1格式的签名

2. sha256格式的， WHQL签名或自己证书签名 （对于patch较老的win7,  sha256签名可能不认）



所以现在基本有个非常好利用的点，使用2013-2015期间颁发的驱动代码签名，几乎从win7的低版本patch，到win10-11 ,加上开启 Secure Boot情况下都能跑。



但正规做法还是：微软WHQL签名+自己证书签的SHA1+SHA256
外加一套黑名单
https://docs.microsoft.com/en-us ... -driver-block-rules

tdsskiller

wowocock 发表于 2022-7-28 10:48
Win10开启 Secure Boot状态下，驱动想跑起来有两种方式：

1.使用微软WHQL签名

就是这个：https://bbs.pediy.com/thread-272998.htm

君の问题

真正大杀四方的驱动其实都有签名