首页
社区
课程
招聘
[讨论] process hacker的驱动不需要微软的签名也能在win10上跑, 是怎么做到的?
发表于: 2022-5-25 19:49 16077

[讨论] process hacker的驱动不需要微软的签名也能在win10上跑, 是怎么做到的?

2022-5-25 19:49
16077
收藏
免费 1
支持
分享
最新回复 (19)
雪    币: 429
活跃值: (2272)
能力值: ( LV3,RANK:25 )
在线值:
发帖
回帖
粉丝
2
貌似是要主板关闭secure boot
2022-5-25 21:18
0
雪    币: 7325
活跃值: (3803)
能力值: (RANK:1130 )
在线值:
发帖
回帖
粉丝
3
因为人家有时间戳
2022-5-25 21:32
0
雪    币: 3022
活跃值: (6771)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
开源项目可以看源码...
2022-5-25 21:33
0
雪    币: 6339
活跃值: (3862)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
我们用过期的签名,都可以在win10 win11上跑啊
2022-5-25 21:34
0
雪    币: 1036
活跃值: (1316)
能力值: ( LV3,RANK:35 )
在线值:
发帖
回帖
粉丝
6

去年微软推过一个patch,说不支持sha1签名了,但实测还是可以运行起来的。接下来看看以下几种情况。


Win10开启 Secure Boot状态下,驱动想跑起来有两种方式:

1.使用微软WHQL签名

2.使用 2013-2015年签发的代码签名(这里是个例外,官网有说明,能跑起来,例如上海域连和 Zhuhai liangcheng签名都可以)


Win10关闭 Secure Boot状态下

1.使用微软WHQL签名

2.使用sha1或sha256的签名都能正常跑。楼主现在应该是这种情况


Win7系统:

1. sha1格式的签名

2. sha256格式的, WHQL签名或自己证书签名 (对于patch较老的win7,  sha256签名可能不认)


所以现在基本有个非常好利用的点,使用2013-2015期间颁发的驱动代码签名,几乎从win7的低版本patch,到win10-11 ,加上开启 Secure Boot情况下都能跑。


但正规做法还是:微软WHQL签名+自己证书签的SHA1+SHA256



本机测试:win11 + 开启Secure Boot


附件就是测试的驱动签名文件

最后于 2022-5-27 12:21 被StriveXjun编辑 ,原因: 修正错误词
上传的附件:
2022-5-26 20:58
0
雪    币: 6124
活跃值: (4716)
能力值: ( LV6,RANK:80 )
在线值:
发帖
回帖
粉丝
7
StriveXjun 去年微软推过一个patch,说不支持sha1签名了,但实测还是可以运行起来的。接下来看看以下几种情况。Win10开启 Secure Boot状态下,驱动想跑起来有两种方式:1.使用微软WHQL签名2. ...
小俊师傅,这个点我其实一直没搞清,对于新申请的签名 是不存在sha1的 那win7上的 sha1是怎么签呢?
2022-5-28 16:32
0
雪    币: 1036
活跃值: (1316)
能力值: ( LV3,RANK:35 )
在线值:
发帖
回帖
粉丝
8
黑洛 小俊师傅,这个点我其实一直没搞清,对于新申请的签名 是不存在sha1的 那win7上的 sha1是怎么签呢?
支持的,你打签名的时候选择双签名即可。
2022-5-28 20:47
0
雪    币: 1641
活跃值: (3601)
能力值: (RANK:15 )
在线值:
发帖
回帖
粉丝
9
StriveXjun 去年微软推过一个patch,说不支持sha1签名了,但实测还是可以运行起来的。接下来看看以下几种情况。Win10开启 Secure Boot状态下,驱动想跑起来有两种方式:1.使用微软WHQL签名2. ...
然而在去年下半年,微软添加了黑名单机制,黑名单中的证书在新版win10/11中无法加载,上海域联等证书都无法使用,而在距离最近的一次,应该是在五月初的更新中,把英伟达泄露2014年的那个拉黑了了
2022-5-28 21:51
1
雪    币: 217
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
10
はつゆき 然而在去年下半年,微软添加了黑名单机制,黑名单中的证书在新版win10/11中无法加载,上海域联等证书都无法使用,而在距离最近的一次,应该是在五月初的更新中,把英伟达泄露2014年的那个拉黑了了
请问技嘉的那个有漏洞的驱动还能用吗
2022-5-28 23:07
0
雪    币: 1641
活跃值: (3601)
能力值: (RANK:15 )
在线值:
发帖
回帖
粉丝
11
Billraozihan 请问技嘉的那个有漏洞的驱动还能用吗
不知道,自己测一测吧,我也没有详细测试过
2022-5-28 23:13
0
雪    币: 463
活跃值: (1186)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
直接过期的sha1签名 秒杀所有系统  直接加载
2022-5-30 18:46
0
雪    币: 7160
活跃值: (3073)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
去年年底刚买的亚信的证书,驱动文件双签名在win7 64上sha1不能用,sha256又不认要打补丁,win7 whql又没整熟络,这个咋整,  win10的sha1+sha256+whql这个跑通了  ,就是win7的  这个请教下咋整的
 
2022-5-30 20:36
0
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
14
はつゆき 然而在去年下半年,微软添加了黑名单机制,黑名单中的证书在新版win10/11中无法加载,上海域联等证书都无法使用,而在距离最近的一次,应该是在五月初的更新中,把英伟达泄露2014年的那个拉黑了了

请问下微软有没有相关黑名单机制的说明呢?
或者说现在还有没有能用的签名(

谢谢

最后于 2022-6-8 14:05 被wx_欢乐马_670编辑 ,原因:
2022-6-8 14:04
0
雪    币: 12919
活跃值: (9553)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
wx_欢乐马_670 はつゆき 然而在去年下半年,微软添加了黑名单机制,黑名单中的证书在新版win10/11中无法加载,上海域联等证书都无法使用,而在距离最近的一次,应 ...
https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/microsoft-recommended-driver-block-rules
你问的好像是这个。。。之前那个Dell的漏洞不知道添加到黑名单了没有,毕竟Dell也没修补,只是提升了下访问的权限。
2022-6-8 14:45
1
雪    币: 341
活跃值: (1005)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
16
Genes https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-con ...
这个里面有不少熟悉的文件呢。
2022-6-8 14:53
0
雪    币: 405
活跃值: (2350)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
17
现在木马在WIN10以后都喜欢用微软自己的WHQL签名,各种加载妥妥的。
2022-6-8 16:14
0
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
18

谢谢

最后于 2022-6-8 17:10 被wx_欢乐马_670编辑 ,原因:
2022-6-8 17:10
0
雪    币: 10
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
19
关闭SecureRoot 就可以不用WHQL了
2022-7-5 11:16
0
雪    币: 1658
活跃值: (1965)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
20
但是客户机环境的话还是要适用一下,正常HQL+sha1+sha256 都可以加载
2022-8-25 10:28
0
游客
登录 | 注册 方可回帖
返回
//