[讨论] process hacker的驱动不需要微软的签名也能在win10上跑，是怎么做到的？-编程技术-看雪-安全社区|安全招聘|kanxue.com

[讨论] process hacker的驱动不需要微软的签名也能在win10上跑，是怎么做到的？

2022-5-25 19:49 13737

[讨论] process hacker的驱动不需要微软的签名也能在win10上跑，是怎么做到的？

wumnkx

2022-5-25 19:49

13737

图片描述系统版本:10.0.19041.1706

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

#系统内核 #驱动开发 #开发技巧

收藏・18

点赞・1

打赏

最新回复 (19)
劫局丶雪币： 258 活跃值： (1751) 能力值： ( LV3，RANK：25 ) 在线值：发帖 11 回帖 86 粉丝 10 关注私信	劫局丶 2022-5-25 21:18 2 楼 0 貌似是要主板关闭secure boot
海风月影雪币： 7300 活跃值： (3758) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2313 粉丝 116 关注私信	海风月影 22 2022-5-25 21:32 3 楼 0 因为人家有时间戳
微启宇雪币： 2130 活跃值： (5672) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 540 粉丝 32 关注私信	微启宇 2022-5-25 21:33 4 楼 0 开源项目可以看源码...
大鲤鱼雪币： 6287 活跃值： (3812) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 113 粉丝 3 关注私信	大鲤鱼 2022-5-25 21:34 5 楼 0 我们用过期的签名，都可以在win10 win11上跑啊
StriveXjun 雪币： 1038 活跃值： (1216) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 219 粉丝 68 关注私信	StriveXjun 2022-5-26 20:58 6 楼 0 去年微软推过一个patch，说不支持sha1签名了，但实测还是可以运行起来的。接下来看看以下几种情况。 Win10开启 Secure Boot状态下，驱动想跑起来有两种方式： 1.使用微软WHQL签名 2.使用 2013-2015年签发的代码签名（这里是个例外，官网有说明，能跑起来，例如上海域连和 Zhuhai liangcheng签名都可以） Win10关闭 Secure Boot状态下 1.使用微软WHQL签名 2.使用sha1或sha256的签名都能正常跑。楼主现在应该是这种情况 Win7系统： 1. sha1格式的签名 2. sha256格式的， WHQL签名或自己证书签名（对于patch较老的win7, sha256签名可能不认）所以现在基本有个非常好利用的点，使用2013-2015期间颁发的驱动代码签名，几乎从win7的低版本patch，到win10-11 ,加上开启 Secure Boot情况下都能跑。但正规做法还是：微软WHQL签名+自己证书签的SHA1+SHA256 本机测试：win11 + 开启Secure Boot 附件就是测试的驱动签名文件最后于 2022-5-27 12:21 被StriveXjun编辑，原因：修正错误词上传的附件： MyDriver1.zip （4.50kb，131次下载）
黑洛雪币： 6124 活跃值： (4101) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 582 粉丝 68 关注私信	黑洛 1 2022-5-28 16:32 7 楼 0 StriveXjun 去年微软推过一个patch，说不支持sha1签名了，但实测还是可以运行起来的。接下来看看以下几种情况。Win10开启 Secure Boot状态下，驱动想跑起来有两种方式：1.使用微软WHQL签名2. ... 小俊师傅，这个点我其实一直没搞清，对于新申请的签名是不存在sha1的那win7上的 sha1是怎么签呢？
StriveXjun 雪币： 1038 活跃值： (1216) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 219 粉丝 68 关注私信	StriveXjun 2022-5-28 20:47 8 楼 0 黑洛小俊师傅，这个点我其实一直没搞清，对于新申请的签名是不存在sha1的那win7上的 sha1是怎么签呢？支持的，你打签名的时候选择双签名即可。
はつゆき雪币： 1641 活跃值： (3601) 能力值： (RANK：15 ) 在线值：发帖 15 回帖 401 粉丝 39 关注私信	はつゆき 2022-5-28 21:51 9 楼 0 StriveXjun 去年微软推过一个patch，说不支持sha1签名了，但实测还是可以运行起来的。接下来看看以下几种情况。Win10开启 Secure Boot状态下，驱动想跑起来有两种方式：1.使用微软WHQL签名2. ... 然而在去年下半年，微软添加了黑名单机制，黑名单中的证书在新版win10/11中无法加载，上海域联等证书都无法使用，而在距离最近的一次，应该是在五月初的更新中，把英伟达泄露2014年的那个拉黑了了
Billraozihan 雪币： 217 能力值： ( LV1，RANK：0 ) 在线值：发帖 8 回帖 6 粉丝 0 关注私信	Billraozihan 2022-5-28 23:07 10 楼 0 はつゆき然而在去年下半年，微软添加了黑名单机制，黑名单中的证书在新版win10/11中无法加载，上海域联等证书都无法使用，而在距离最近的一次，应该是在五月初的更新中，把英伟达泄露2014年的那个拉黑了了请问技嘉的那个有漏洞的驱动还能用吗
はつゆき雪币： 1641 活跃值： (3601) 能力值： (RANK：15 ) 在线值：发帖 15 回帖 401 粉丝 39 关注私信	はつゆき 2022-5-28 23:13 11 楼 0 Billraozihan 请问技嘉的那个有漏洞的驱动还能用吗不知道，自己测一测吧，我也没有详细测试过
醉後的温柔雪币： 402 活跃值： (1091) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 174 粉丝 19 关注私信	醉後的温柔 2022-5-30 18:46 12 楼 0 直接过期的sha1签名秒杀所有系统直接加载
shuyangzjg 雪币： 6368 活跃值： (2254) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 205 粉丝 1 关注私信	shuyangzjg 2022-5-30 20:36 13 楼 0 去年年底刚买的亚信的证书，驱动文件双签名在win7 64上sha1不能用，sha256又不认要打补丁，win7 whql又没整熟络，这个咋整， win10的sha1+sha256+whql这个跑通了，就是win7的这个请教下咋整的
wx_欢乐马_670 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	wx_欢乐马_670 2022-6-8 14:04 14 楼 0 はつゆき然而在去年下半年，微软添加了黑名单机制，黑名单中的证书在新版win10/11中无法加载，上海域联等证书都无法使用，而在距离最近的一次，应该是在五月初的更新中，把英伟达泄露2014年的那个拉黑了了请问下微软有没有相关黑名单机制的说明呢？或者说现在还有没有能用的签名（谢谢最后于 2022-6-8 14:05 被wx_欢乐马_670编辑，原因：
Genes 雪币： 12187 活跃值： (8155) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 140 粉丝 1 关注私信	Genes 2022-6-8 14:45 15 楼 1 wx_欢乐马_670 はつゆき然而在去年下半年，微软添加了黑名单机制，黑名单中的证书在新版win10/11中无法加载，上海域联等证书都无法使用，而在距离最近的一次，应 ... https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/microsoft-recommended-driver-block-rules 你问的好像是这个。。。之前那个Dell的漏洞不知道添加到黑名单了没有，毕竟Dell也没修补，只是提升了下访问的权限。
fatcateatrat 雪币： 333 活跃值： (970) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 111 粉丝 4 关注私信	fatcateatrat 2022-6-8 14:53 16 楼 0 Genes https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-con ... 这个里面有不少熟悉的文件呢。
wowocock 雪币： 405 活跃值： (1900) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 305 粉丝 19 关注私信	wowocock 1 2022-6-8 16:14 17 楼 0 现在木马在WIN10以后都喜欢用微软自己的WHQL签名，各种加载妥妥的。
wx_欢乐马_670 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	wx_欢乐马_670 2022-6-8 17:10 18 楼 0 谢谢最后于 2022-6-8 17:10 被wx_欢乐马_670编辑，原因：
zx_953745 雪币： 10 能力值： ( LV1，RANK：0 ) 在线值：发帖 -2 回帖 2 粉丝 0 关注私信	zx_953745 2022-7-5 11:16 19 楼 0 关闭SecureRoot 就可以不用WHQL了
Hbruce 雪币： 924 活跃值： (1295) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 37 粉丝 0 关注私信	Hbruce 2022-8-25 10:28 20 楼 0 但是客户机环境的话还是要适用一下，正常HQL+sha1+sha256 都可以加载
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

wumnkx

发帖

回帖

RANK

关注

私信

他的文章

[求助]windbg调试go写的程序，怎么设置符号路径？

[讨论] 这是已知的漏洞吗？

[求助][求助] 电脑上所有用户不在管理员组，在服务程序中可以窃取管理员令牌来创建管理员进程吗？

[求助] FltUnregisterFilter卡死，是资源泄漏导致的吗？

[求助] --

关于我们

联系我们

企业服务

看雪公众号

最新回复 (19)
劫局丶雪币： 258 活跃值： (1751) 能力值： ( LV3，RANK：25 ) 在线值：发帖 11 回帖 86 粉丝 10 关注私信	劫局丶 2022-5-25 21:18 2 楼 0 貌似是要主板关闭secure boot
海风月影雪币： 7300 活跃值： (3758) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2313 粉丝 116 关注私信	海风月影 22 2022-5-25 21:32 3 楼 0 因为人家有时间戳
微启宇雪币： 2130 活跃值： (5672) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 540 粉丝 32 关注私信	微启宇 2022-5-25 21:33 4 楼 0 开源项目可以看源码...
大鲤鱼雪币： 6287 活跃值： (3812) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 113 粉丝 3 关注私信	大鲤鱼 2022-5-25 21:34 5 楼 0 我们用过期的签名，都可以在win10 win11上跑啊
StriveXjun 雪币： 1038 活跃值： (1216) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 219 粉丝 68 关注私信	StriveXjun 2022-5-26 20:58 6 楼 0 去年微软推过一个patch，说不支持sha1签名了，但实测还是可以运行起来的。接下来看看以下几种情况。 Win10开启 Secure Boot状态下，驱动想跑起来有两种方式： 1.使用微软WHQL签名 2.使用 2013-2015年签发的代码签名（这里是个例外，官网有说明，能跑起来，例如上海域连和 Zhuhai liangcheng签名都可以） Win10关闭 Secure Boot状态下 1.使用微软WHQL签名 2.使用sha1或sha256的签名都能正常跑。楼主现在应该是这种情况 Win7系统： 1. sha1格式的签名 2. sha256格式的， WHQL签名或自己证书签名（对于patch较老的win7, sha256签名可能不认）所以现在基本有个非常好利用的点，使用2013-2015期间颁发的驱动代码签名，几乎从win7的低版本patch，到win10-11 ,加上开启 Secure Boot情况下都能跑。但正规做法还是：微软WHQL签名+自己证书签的SHA1+SHA256 本机测试：win11 + 开启Secure Boot 附件就是测试的驱动签名文件最后于 2022-5-27 12:21 被StriveXjun编辑，原因：修正错误词上传的附件： MyDriver1.zip （4.50kb，131次下载）
黑洛雪币： 6124 活跃值： (4101) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 582 粉丝 68 关注私信	黑洛 1 2022-5-28 16:32 7 楼 0 StriveXjun 去年微软推过一个patch，说不支持sha1签名了，但实测还是可以运行起来的。接下来看看以下几种情况。Win10开启 Secure Boot状态下，驱动想跑起来有两种方式：1.使用微软WHQL签名2. ... 小俊师傅，这个点我其实一直没搞清，对于新申请的签名是不存在sha1的那win7上的 sha1是怎么签呢？
StriveXjun 雪币： 1038 活跃值： (1216) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 219 粉丝 68 关注私信	StriveXjun 2022-5-28 20:47 8 楼 0 黑洛小俊师傅，这个点我其实一直没搞清，对于新申请的签名是不存在sha1的那win7上的 sha1是怎么签呢？支持的，你打签名的时候选择双签名即可。
はつゆき雪币： 1641 活跃值： (3601) 能力值： (RANK：15 ) 在线值：发帖 15 回帖 401 粉丝 39 关注私信	はつゆき 2022-5-28 21:51 9 楼 0 StriveXjun 去年微软推过一个patch，说不支持sha1签名了，但实测还是可以运行起来的。接下来看看以下几种情况。Win10开启 Secure Boot状态下，驱动想跑起来有两种方式：1.使用微软WHQL签名2. ... 然而在去年下半年，微软添加了黑名单机制，黑名单中的证书在新版win10/11中无法加载，上海域联等证书都无法使用，而在距离最近的一次，应该是在五月初的更新中，把英伟达泄露2014年的那个拉黑了了
Billraozihan 雪币： 217 能力值： ( LV1，RANK：0 ) 在线值：发帖 8 回帖 6 粉丝 0 关注私信	Billraozihan 2022-5-28 23:07 10 楼 0 はつゆき然而在去年下半年，微软添加了黑名单机制，黑名单中的证书在新版win10/11中无法加载，上海域联等证书都无法使用，而在距离最近的一次，应该是在五月初的更新中，把英伟达泄露2014年的那个拉黑了了请问技嘉的那个有漏洞的驱动还能用吗
はつゆき雪币： 1641 活跃值： (3601) 能力值： (RANK：15 ) 在线值：发帖 15 回帖 401 粉丝 39 关注私信	はつゆき 2022-5-28 23:13 11 楼 0 Billraozihan 请问技嘉的那个有漏洞的驱动还能用吗不知道，自己测一测吧，我也没有详细测试过
醉後的温柔雪币： 402 活跃值： (1091) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 174 粉丝 19 关注私信	醉後的温柔 2022-5-30 18:46 12 楼 0 直接过期的sha1签名秒杀所有系统直接加载
shuyangzjg 雪币： 6368 活跃值： (2254) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 205 粉丝 1 关注私信	shuyangzjg 2022-5-30 20:36 13 楼 0 去年年底刚买的亚信的证书，驱动文件双签名在win7 64上sha1不能用，sha256又不认要打补丁，win7 whql又没整熟络，这个咋整， win10的sha1+sha256+whql这个跑通了，就是win7的这个请教下咋整的
wx_欢乐马_670 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	wx_欢乐马_670 2022-6-8 14:04 14 楼 0 はつゆき然而在去年下半年，微软添加了黑名单机制，黑名单中的证书在新版win10/11中无法加载，上海域联等证书都无法使用，而在距离最近的一次，应该是在五月初的更新中，把英伟达泄露2014年的那个拉黑了了请问下微软有没有相关黑名单机制的说明呢？或者说现在还有没有能用的签名（谢谢最后于 2022-6-8 14:05 被wx_欢乐马_670编辑，原因：
Genes 雪币： 12187 活跃值： (8155) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 140 粉丝 1 关注私信	Genes 2022-6-8 14:45 15 楼 1 wx_欢乐马_670 はつゆき然而在去年下半年，微软添加了黑名单机制，黑名单中的证书在新版win10/11中无法加载，上海域联等证书都无法使用，而在距离最近的一次，应 ... https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/microsoft-recommended-driver-block-rules 你问的好像是这个。。。之前那个Dell的漏洞不知道添加到黑名单了没有，毕竟Dell也没修补，只是提升了下访问的权限。
fatcateatrat 雪币： 333 活跃值： (970) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 111 粉丝 4 关注私信	fatcateatrat 2022-6-8 14:53 16 楼 0 Genes https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-con ... 这个里面有不少熟悉的文件呢。
wowocock 雪币： 405 活跃值： (1900) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 305 粉丝 19 关注私信	wowocock 1 2022-6-8 16:14 17 楼 0 现在木马在WIN10以后都喜欢用微软自己的WHQL签名，各种加载妥妥的。
wx_欢乐马_670 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	wx_欢乐马_670 2022-6-8 17:10 18 楼 0 谢谢最后于 2022-6-8 17:10 被wx_欢乐马_670编辑，原因：
zx_953745 雪币： 10 能力值： ( LV1，RANK：0 ) 在线值：发帖 -2 回帖 2 粉丝 0 关注私信	zx_953745 2022-7-5 11:16 19 楼 0 关闭SecureRoot 就可以不用WHQL了
Hbruce 雪币： 924 活跃值： (1295) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 37 粉丝 0 关注私信	Hbruce 2022-8-25 10:28 20 楼 0 但是客户机环境的话还是要适用一下，正常HQL+sha1+sha256 都可以加载
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

[讨论] process hacker的驱动不需要微软的签名也能在win10上跑， 是怎么做到的？

[讨论] process hacker的驱动不需要微软的签名也能在win10上跑，是怎么做到的？