|
[讨论] process hacker的驱动不需要微软的签名也能在win10上跑, 是怎么做到的?
黑洛 小俊师傅,这个点我其实一直没搞清,对于新申请的签名 是不存在sha1的 那win7上的 sha1是怎么签呢?支持的,你打签名的时候选择双签名即可。 |
|
[讨论] process hacker的驱动不需要微软的签名也能在win10上跑, 是怎么做到的?
去年微软推过一个patch,说不支持sha1签名了,但实测还是可以运行起来的。接下来看看以下几种情况。 Win10开启 Secure Boot状态下,驱动想跑起来有两种方式: 1.使用微软WHQL签名 2.使用 2013-2015年签发的代码签名(这里是个例外,官网有说明,能跑起来,例如上海域连和 Zhuhai liangcheng签名都可以) Win10关闭 Secure Boot状态下 1.使用微软WHQL签名 2.使用sha1或sha256的签名都能正常跑。楼主现在应该是这种情况 Win7系统: 1. sha1格式的签名 2. sha256格式的, WHQL签名或自己证书签名 (对于patch较老的win7, sha256签名可能不认) 所以现在基本有个非常好利用的点,使用2013-2015期间颁发的驱动代码签名,几乎从win7的低版本patch,到win10-11 ,加上开启 Secure Boot情况下都能跑。 但正规做法还是:微软WHQL签名+自己证书签的SHA1+SHA256 本机测试:win11 + 开启Secure Boot 附件就是测试的驱动签名文件
最后于 2022-5-27 12:21
被StriveXjun编辑
,原因: 修正错误词
|
|
[原创]SharpOD 反反调试插件 v0.6b (增加功能和修复BUG)
[SharpOD v0.6d Stable] 更新日志 1.增加对VMP3.5.1的反调试处理 2.更新驱动签名和修复了一些驱动问题 3.修复了很多BUG [SharpOD v0.6c beta] 更新日志 1.增加处理 vmp3.5反调试 2.修复ThreadHideFromDebugger 参数处理bug 3.修复 win10 bypass objectcallback(PsProcessType & PsThreadType) 触发PG BSOD 4.增加处理 PEB_ProcessParameters 5.增加处理 ProcessDebugObjectHandle,参数3、5 一样情况下,打开的调试对象句柄泄漏问题 6.修复win10系统硬件断点保护问题 7.update pdk 8.修复x64dbg标题被检测问题 (Themida 3.x & Winlicense 3.x) 因为附件无法传大于8M的,网盘下载地址: 链接: https://pan.baidu.com/s/18ZSzo-RB744_pTJNSjooMw 提取码: 93vn |
|
[原创]SharpOD 反反调试插件 v0.6b (增加功能和修复BUG)
这个问题修复了,有个测试群,如果有空加入一起测试的话可以来,群号980966843 |
|
[求助]谁有64位的msbuild,替换VS自带的msbuild
没区别,主要看你指定的参数 msbuild.exe ./xxxxx.sln /p:Configuration=Release;platform=x64 |
|
|
|
|
|
|
|
安全软件群雄混战史
猎狗,这词笑喷了。。。 |
|
[求助]CreateRemoteThread创建在非本机用户的程序返回失败,是什么原因
1.服务进程你自身要带管理员权限运行,其二你得获取调试权限的令牌。 2.在PPL( Protected Process Light)的进程,你有以上权限都打不开,如win10 的 csrss.exe 。 但你可以调用procexp的驱动的ZwOpenProcess功能获取 full control的权限句柄。 3.在xp以上系统 每个session都是隔离的,服务进程是一类session,创建远程线程失败,是因为跨session创建的,调ZwCreateThreadEx 试试看,具体原理论坛搜索。
最后于 2019-12-2 10:29
被StriveXjun编辑
,原因:
|
|
[原创]cuckoo沙箱技术分析全景图
这个画图用的是啥工具 |
|
[求助]企业内控网接入层控制有何方案?
买个DLP |
|
[原创]记一次分析CPU卡的经过
这表情配的到位,哈哈哈 |
|
|
|
[原创]C/C++ 实现获取Windows操作系统版本信息
賈可 RtlGetVersion 和 GetVersionEx 没区别,不靠谱。自己没用过就别下结论。 去win8.1以上的系统用用就知道了。 |