[讨论] process hacker的驱动不需要微软的签名也能在win10上跑，是怎么做到的？-编程技术-看雪-安全社区|安全招聘|kanxue.com

[讨论] process hacker的驱动不需要微软的签名也能在win10上跑，是怎么做到的？

发表于: 2022-5-25 19:49 15865

[讨论] process hacker的驱动不需要微软的签名也能在win10上跑，是怎么做到的？

wumnkx

2022-5-25 19:49

15865

图片描述系统版本:10.0.19041.1706

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

#系统内核 #驱动开发 #开发技巧

收藏・20

免费・1

支持

最新回复 (19)
劫局丶雪币： 412 活跃值： (2176) 能力值： ( LV3，RANK：25 ) 在线值：发帖 12 回帖 94 粉丝 11 关注私信	劫局丶 2 楼貌似是要主板关闭secure boot 2022-5-25 21:18 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 3 楼因为人家有时间戳 2022-5-25 21:32 0
微启宇雪币： 2888 活跃值： (6646) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 536 粉丝 51 关注私信	微启宇 4 楼开源项目可以看源码... 2022-5-25 21:33 0
大鲤鱼雪币： 6307 活跃值： (3837) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 125 粉丝 3 关注私信	大鲤鱼 5 楼我们用过期的签名，都可以在win10 win11上跑啊 2022-5-25 21:34 0
StriveXjun 雪币： 1036 活跃值： (1311) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 214 粉丝 71 关注私信	StriveXjun 6 楼去年微软推过一个patch，说不支持sha1签名了，但实测还是可以运行起来的。接下来看看以下几种情况。 Win10开启 Secure Boot状态下，驱动想跑起来有两种方式： 1.使用微软WHQL签名 2.使用 2013-2015年签发的代码签名（这里是个例外，官网有说明，能跑起来，例如上海域连和 Zhuhai liangcheng签名都可以） Win10关闭 Secure Boot状态下 1.使用微软WHQL签名 2.使用sha1或sha256的签名都能正常跑。楼主现在应该是这种情况 Win7系统： 1. sha1格式的签名 2. sha256格式的， WHQL签名或自己证书签名（对于patch较老的win7, sha256签名可能不认）所以现在基本有个非常好利用的点，使用2013-2015期间颁发的驱动代码签名，几乎从win7的低版本patch，到win10-11 ,加上开启 Secure Boot情况下都能跑。但正规做法还是：微软WHQL签名+自己证书签的SHA1+SHA256 本机测试：win11 + 开启Secure Boot 附件就是测试的驱动签名文件最后于 2022-5-27 12:21 被StriveXjun编辑，原因：修正错误词上传的附件： MyDriver1.zip （4.50kb，161次下载） 2022-5-26 20:58 0
黑洛雪币： 6124 活跃值： (4656) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 568 粉丝 72 关注私信	黑洛 1 7 楼 StriveXjun 去年微软推过一个patch，说不支持sha1签名了，但实测还是可以运行起来的。接下来看看以下几种情况。Win10开启 Secure Boot状态下，驱动想跑起来有两种方式：1.使用微软WHQL签名2. ... 小俊师傅，这个点我其实一直没搞清，对于新申请的签名是不存在sha1的那win7上的 sha1是怎么签呢？ 2022-5-28 16:32 0
StriveXjun 雪币： 1036 活跃值： (1311) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 214 粉丝 71 关注私信	StriveXjun 8 楼黑洛小俊师傅，这个点我其实一直没搞清，对于新申请的签名是不存在sha1的那win7上的 sha1是怎么签呢？支持的，你打签名的时候选择双签名即可。 2022-5-28 20:47 0
はつゆき雪币： 1641 活跃值： (3601) 能力值： (RANK：15 ) 在线值：发帖 15 回帖 396 粉丝 42 关注私信	はつゆき 9 楼 StriveXjun 去年微软推过一个patch，说不支持sha1签名了，但实测还是可以运行起来的。接下来看看以下几种情况。Win10开启 Secure Boot状态下，驱动想跑起来有两种方式：1.使用微软WHQL签名2. ... 然而在去年下半年，微软添加了黑名单机制，黑名单中的证书在新版win10/11中无法加载，上海域联等证书都无法使用，而在距离最近的一次，应该是在五月初的更新中，把英伟达泄露2014年的那个拉黑了了 2022-5-28 21:51 1
Billraozihan 雪币： 217 能力值： ( LV1，RANK：0 ) 在线值：发帖 9 回帖 15 粉丝 0 关注私信	Billraozihan 10 楼はつゆき然而在去年下半年，微软添加了黑名单机制，黑名单中的证书在新版win10/11中无法加载，上海域联等证书都无法使用，而在距离最近的一次，应该是在五月初的更新中，把英伟达泄露2014年的那个拉黑了了请问技嘉的那个有漏洞的驱动还能用吗 2022-5-28 23:07 0
はつゆき雪币： 1641 活跃值： (3601) 能力值： (RANK：15 ) 在线值：发帖 15 回帖 396 粉丝 42 关注私信	はつゆき 11 楼 Billraozihan 请问技嘉的那个有漏洞的驱动还能用吗不知道，自己测一测吧，我也没有详细测试过 2022-5-28 23:13 0
醉後的温柔雪币： 462 活跃值： (1186) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 166 粉丝 20 关注私信	醉後的温柔 12 楼直接过期的sha1签名秒杀所有系统直接加载 2022-5-30 18:46 0
shuyangzjg 雪币： 7063 活跃值： (2958) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 215 粉丝 2 关注私信	shuyangzjg 13 楼去年年底刚买的亚信的证书，驱动文件双签名在win7 64上sha1不能用，sha256又不认要打补丁，win7 whql又没整熟络，这个咋整， win10的sha1+sha256+whql这个跑通了，就是win7的这个请教下咋整的 2022-5-30 20:36 0
wx_欢乐马_670 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	wx_欢乐马_670 14 楼はつゆき然而在去年下半年，微软添加了黑名单机制，黑名单中的证书在新版win10/11中无法加载，上海域联等证书都无法使用，而在距离最近的一次，应该是在五月初的更新中，把英伟达泄露2014年的那个拉黑了了请问下微软有没有相关黑名单机制的说明呢？或者说现在还有没有能用的签名（谢谢最后于 2022-6-8 14:05 被wx_欢乐马_670编辑，原因： 2022-6-8 14:04 0
tank小王子雪币： 12378 活跃值： (9402) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 152 粉丝 1 关注私信	tank小王子 15 楼 wx_欢乐马_670 はつゆき然而在去年下半年，微软添加了黑名单机制，黑名单中的证书在新版win10/11中无法加载，上海域联等证书都无法使用，而在距离最近的一次，应 ... https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/microsoft-recommended-driver-block-rules 你问的好像是这个。。。之前那个Dell的漏洞不知道添加到黑名单了没有，毕竟Dell也没修补，只是提升了下访问的权限。 2022-6-8 14:45 1
fatcateatrat 雪币： 341 活跃值： (1005) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 114 粉丝 4 关注私信	fatcateatrat 16 楼 Genes https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-con ... 这个里面有不少熟悉的文件呢。 2022-6-8 14:53 0
wowocock 雪币： 405 活跃值： (2260) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 298 粉丝 21 关注私信	wowocock 1 17 楼现在木马在WIN10以后都喜欢用微软自己的WHQL签名，各种加载妥妥的。 2022-6-8 16:14 0
wx_欢乐马_670 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	wx_欢乐马_670 18 楼谢谢最后于 2022-6-8 17:10 被wx_欢乐马_670编辑，原因： 2022-6-8 17:10 0
zx_953745 雪币： 10 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	zx_953745 19 楼关闭SecureRoot 就可以不用WHQL了 2022-7-5 11:16 0
Hbruce 雪币： 1551 活跃值： (1855) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 39 粉丝 0 关注私信	Hbruce 20 楼但是客户机环境的话还是要适用一下，正常HQL+sha1+sha256 都可以加载 2022-8-25 10:28 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

wumnkx

发帖

109

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (19)
劫局丶雪币： 412 活跃值： (2176) 能力值： ( LV3，RANK：25 ) 在线值：发帖 12 回帖 94 粉丝 11 关注私信	劫局丶 2 楼貌似是要主板关闭secure boot 2022-5-25 21:18 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 3 楼因为人家有时间戳 2022-5-25 21:32 0
微启宇雪币： 2888 活跃值： (6646) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 536 粉丝 51 关注私信	微启宇 4 楼开源项目可以看源码... 2022-5-25 21:33 0
大鲤鱼雪币： 6307 活跃值： (3837) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 125 粉丝 3 关注私信	大鲤鱼 5 楼我们用过期的签名，都可以在win10 win11上跑啊 2022-5-25 21:34 0
StriveXjun 雪币： 1036 活跃值： (1311) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 214 粉丝 71 关注私信	StriveXjun 6 楼去年微软推过一个patch，说不支持sha1签名了，但实测还是可以运行起来的。接下来看看以下几种情况。 Win10开启 Secure Boot状态下，驱动想跑起来有两种方式： 1.使用微软WHQL签名 2.使用 2013-2015年签发的代码签名（这里是个例外，官网有说明，能跑起来，例如上海域连和 Zhuhai liangcheng签名都可以） Win10关闭 Secure Boot状态下 1.使用微软WHQL签名 2.使用sha1或sha256的签名都能正常跑。楼主现在应该是这种情况 Win7系统： 1. sha1格式的签名 2. sha256格式的， WHQL签名或自己证书签名（对于patch较老的win7, sha256签名可能不认）所以现在基本有个非常好利用的点，使用2013-2015期间颁发的驱动代码签名，几乎从win7的低版本patch，到win10-11 ,加上开启 Secure Boot情况下都能跑。但正规做法还是：微软WHQL签名+自己证书签的SHA1+SHA256 本机测试：win11 + 开启Secure Boot 附件就是测试的驱动签名文件最后于 2022-5-27 12:21 被StriveXjun编辑，原因：修正错误词上传的附件： MyDriver1.zip （4.50kb，161次下载） 2022-5-26 20:58 0
黑洛雪币： 6124 活跃值： (4656) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 568 粉丝 72 关注私信	黑洛 1 7 楼 StriveXjun 去年微软推过一个patch，说不支持sha1签名了，但实测还是可以运行起来的。接下来看看以下几种情况。Win10开启 Secure Boot状态下，驱动想跑起来有两种方式：1.使用微软WHQL签名2. ... 小俊师傅，这个点我其实一直没搞清，对于新申请的签名是不存在sha1的那win7上的 sha1是怎么签呢？ 2022-5-28 16:32 0
StriveXjun 雪币： 1036 活跃值： (1311) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 214 粉丝 71 关注私信	StriveXjun 8 楼黑洛小俊师傅，这个点我其实一直没搞清，对于新申请的签名是不存在sha1的那win7上的 sha1是怎么签呢？支持的，你打签名的时候选择双签名即可。 2022-5-28 20:47 0
はつゆき雪币： 1641 活跃值： (3601) 能力值： (RANK：15 ) 在线值：发帖 15 回帖 396 粉丝 42 关注私信	はつゆき 9 楼 StriveXjun 去年微软推过一个patch，说不支持sha1签名了，但实测还是可以运行起来的。接下来看看以下几种情况。Win10开启 Secure Boot状态下，驱动想跑起来有两种方式：1.使用微软WHQL签名2. ... 然而在去年下半年，微软添加了黑名单机制，黑名单中的证书在新版win10/11中无法加载，上海域联等证书都无法使用，而在距离最近的一次，应该是在五月初的更新中，把英伟达泄露2014年的那个拉黑了了 2022-5-28 21:51 1
Billraozihan 雪币： 217 能力值： ( LV1，RANK：0 ) 在线值：发帖 9 回帖 15 粉丝 0 关注私信	Billraozihan 10 楼はつゆき然而在去年下半年，微软添加了黑名单机制，黑名单中的证书在新版win10/11中无法加载，上海域联等证书都无法使用，而在距离最近的一次，应该是在五月初的更新中，把英伟达泄露2014年的那个拉黑了了请问技嘉的那个有漏洞的驱动还能用吗 2022-5-28 23:07 0
はつゆき雪币： 1641 活跃值： (3601) 能力值： (RANK：15 ) 在线值：发帖 15 回帖 396 粉丝 42 关注私信	はつゆき 11 楼 Billraozihan 请问技嘉的那个有漏洞的驱动还能用吗不知道，自己测一测吧，我也没有详细测试过 2022-5-28 23:13 0
醉後的温柔雪币： 462 活跃值： (1186) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 166 粉丝 20 关注私信	醉後的温柔 12 楼直接过期的sha1签名秒杀所有系统直接加载 2022-5-30 18:46 0
shuyangzjg 雪币： 7063 活跃值： (2958) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 215 粉丝 2 关注私信	shuyangzjg 13 楼去年年底刚买的亚信的证书，驱动文件双签名在win7 64上sha1不能用，sha256又不认要打补丁，win7 whql又没整熟络，这个咋整， win10的sha1+sha256+whql这个跑通了，就是win7的这个请教下咋整的 2022-5-30 20:36 0
wx_欢乐马_670 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	wx_欢乐马_670 14 楼はつゆき然而在去年下半年，微软添加了黑名单机制，黑名单中的证书在新版win10/11中无法加载，上海域联等证书都无法使用，而在距离最近的一次，应该是在五月初的更新中，把英伟达泄露2014年的那个拉黑了了请问下微软有没有相关黑名单机制的说明呢？或者说现在还有没有能用的签名（谢谢最后于 2022-6-8 14:05 被wx_欢乐马_670编辑，原因： 2022-6-8 14:04 0
tank小王子雪币： 12378 活跃值： (9402) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 152 粉丝 1 关注私信	tank小王子 15 楼 wx_欢乐马_670 はつゆき然而在去年下半年，微软添加了黑名单机制，黑名单中的证书在新版win10/11中无法加载，上海域联等证书都无法使用，而在距离最近的一次，应 ... https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/microsoft-recommended-driver-block-rules 你问的好像是这个。。。之前那个Dell的漏洞不知道添加到黑名单了没有，毕竟Dell也没修补，只是提升了下访问的权限。 2022-6-8 14:45 1
fatcateatrat 雪币： 341 活跃值： (1005) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 114 粉丝 4 关注私信	fatcateatrat 16 楼 Genes https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-con ... 这个里面有不少熟悉的文件呢。 2022-6-8 14:53 0
wowocock 雪币： 405 活跃值： (2260) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 298 粉丝 21 关注私信	wowocock 1 17 楼现在木马在WIN10以后都喜欢用微软自己的WHQL签名，各种加载妥妥的。 2022-6-8 16:14 0
wx_欢乐马_670 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	wx_欢乐马_670 18 楼谢谢最后于 2022-6-8 17:10 被wx_欢乐马_670编辑，原因： 2022-6-8 17:10 0
zx_953745 雪币： 10 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	zx_953745 19 楼关闭SecureRoot 就可以不用WHQL了 2022-7-5 11:16 0
Hbruce 雪币： 1551 活跃值： (1855) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 39 粉丝 0 关注私信	Hbruce 20 楼但是客户机环境的话还是要适用一下，正常HQL+sha1+sha256 都可以加载 2022-8-25 10:28 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[讨论] process hacker的驱动不需要微软的签名也能在win10上跑， 是怎么做到的？

[讨论] process hacker的驱动不需要微软的签名也能在win10上跑，是怎么做到的？