楼主: ANY.LNK
收起左侧

[讨论] 即使2016年往后的无效签名证书,仍能在新版Windows 10上加载

[复制链接]
神龟Turmi
发表于 2022-7-28 01:40:49 | 显示全部楼层
ANY.LNK 发表于 2022-7-28 01:37
似乎晚于这个时间的不带WHQL但有SHA256签名(开启安全启动)的证书也能加载(例如Processhacker的驱动)
...

必须WHQL而不是交叉了微软根的第三方CA
这个规定是win10某个版本开始才有的
具体哪个版本我不记得了(但是你发的那个文档里大概率会有写)
另外 从老版本升级上去而不是全新安装的win10也是例外范围 即使开启了安全启动也可以加载无WHQL驱动
Jirehlov1234
发表于 2022-7-28 06:52:36 | 显示全部楼层
00006666 发表于 2022-7-27 15:26
卡巴斯基可能默认不拦截驱动加载,要手动开HIPS

卡巴没有拦截加驱的功能,hips也不行。。。
wwwab
发表于 2022-7-28 07:19:19 | 显示全部楼层
Jirehlov1234 发表于 2022-7-28 06:52
卡巴没有拦截加驱的功能,hips也不行。。。

在特定条件下PDM可能会杀PDM:Suspicious.Driver.Installation.a
Jirehlov1234
发表于 2022-7-28 07:31:33 | 显示全部楼层
wwwab 发表于 2022-7-27 23:19
在特定条件下PDM可能会杀PDM:Suspicious.Driver.Installation.a

少打了主语,我是说HIPS不能拦截加驱
虽然可以通过干涉注册表操作和文件操作来阻止,但并不是真的拦截加驱
00006666
发表于 2022-7-28 09:23:29 | 显示全部楼层
Jirehlov1234 发表于 2022-7-28 07:31
少打了主语,我是说HIPS不能拦截加驱
虽然可以通过干涉注册表操作和文件操作来阻止,但并不是真的拦截加 ...

所以这种不就类似于一种比较严重的安全漏洞……,恶意软件直接加个驱动不就可以安排掉卡巴斯基了……
wowocock
发表于 2022-7-28 10:07:57 | 显示全部楼层
本帖最后由 wowocock 于 2022-7-28 10:09 编辑

应该是出于兼容性考虑,其实微软内部有检测的,只不过估计不敢用,急救箱强力模式内部也使用了微软的这个功能,可以禁止任何无效签名驱动的加载,不过也因为兼容性考虑没起作用。
tdsskiller
发表于 2022-7-28 10:26:48 | 显示全部楼层
00006666 发表于 2022-7-28 09:23
所以这种不就类似于一种比较严重的安全漏洞……,恶意软件直接加个驱动不就可以安排掉卡巴斯基了……

统一回复一下楼主和各个老哥:看雪有大手子测试过的,什么过期签名能加载,什么过期签名不能加载,这里面有暗坑
大手子你们懂得,就是那些玩黑灰产的,统称大手子
wowocock
发表于 2022-7-28 10:48:32 | 显示全部楼层
tdsskiller 发表于 2022-7-28 10:26
统一回复一下楼主和各个老哥:看雪有大手子测试过的,什么过期签名能加载,什么过期签名不能加载,这里面 ...

Win10开启 Secure Boot状态下,驱动想跑起来有两种方式:

1.使用微软WHQL签名

2.使用 2013-2015年签发的代码签名(这里是个例外,官网有说明,能跑起来,例如上海域连和 Zhuhai liangcheng签名都可以)



Win10关闭 Secure Boot状态下

1.使用微软WHQL签名

2.使用sha1或sha256的签名都能正常跑。楼主现在应该是这种情况



Win7系统:

1. sha1格式的签名

2. sha256格式的, WHQL签名或自己证书签名 (对于patch较老的win7,  sha256签名可能不认)



所以现在基本有个非常好利用的点,使用2013-2015期间颁发的驱动代码签名,几乎从win7的低版本patch,到win10-11 ,加上开启 Secure Boot情况下都能跑。



但正规做法还是:微软WHQL签名+自己证书签的SHA1+SHA256
外加一套黑名单
https://docs.microsoft.com/en-us ... -driver-block-rules
tdsskiller
发表于 2022-7-28 10:50:13 | 显示全部楼层
wowocock 发表于 2022-7-28 10:48
Win10开启 Secure Boot状态下,驱动想跑起来有两种方式:

1.使用微软WHQL签名

就是这个:https://bbs.pediy.com/thread-272998.htm
君の问题
头像被屏蔽
发表于 2022-7-28 10:51:22 | 显示全部楼层
真正大杀四方的驱动其实都有签名
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 10:06 , Processed in 0.097643 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表