windows10及以上本地驱动加载黑名单查看-编程技术-看雪-安全社区|安全招聘|kanxue.com

windows10及以上本地驱动加载黑名单查看

发表于: 2022-6-16 07:23 37142

windows10及以上本地驱动加载黑名单查看

简单未遂

2022-6-16 07:23

37142

之前测试程序一直用上海域联的签名进行测试，后来有一天发现用不了，突然意识到windows开始使用证书黑名单策略了。它的这个策略不仅会在系统启动以后拦截驱动加载，还可以拦截boot启动的驱动。它的这个策略是通过系统更新下发的。如果你的系统已经加载了黑签名签过的驱动，策略更新将会失败，这样有效的避免了因拦截驱动加载可能引发的一系列问题。
昨天看到论坛上有人讨论这个问题，原帖在这里，评论区有人提到了这个问题且给出了微软的官方说明
既然这个文件更新到本地的话，它到底保存在哪里呢？可不可以查看？可不可以修改呢？带着这些问题我出发了。最后在C:\Windows\System32\CodeIntegrity\driversipolicy.p7b 下找到了。
结果发现并不是XML格式。后来在github上找到了把二进制转化为XML的脚本。
1、启用脚本执行 set-ExecutionPolicy RemoteSigned

注：必须使用管理员权限

2、导入脚本，我的脚本文件夹在桌面。
cd C:\Users\test\Desktop
Import-Module .\WDACTools

3、执行脚本函数转换格式 ConvertTo-WDACCodeIntegrityPolicy
然后依次输入要转换的源文件路径和转换后的文件路径

到这里已经转换成功了。

XML格式转p7b的话，直接使用原生命令就可以
ConvertFrom-CIPolicy -XmlFilePath XML路径 -BinaryFilePath p7b文件路径
修改完以后重新转换成p7b格式替换掉原来的文件就可以了。

参考来源
启用脚本执行
 xml格式转p7b格式
 脚本github地址

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

最后于 2022-6-16 07:44 被简单未遂编辑，原因：

#开源分享

上传的附件：

WDACTools.7z （26.88kb，360次下载）

收藏・97

免费・27

支持

赞赏记录

参与人

雪币

留言

时间

一路南寻

感谢你的贡献，论坛因你而更加精彩！

3天前

mb_llbjltjc

非常支持你的观点！

2025-2-3 02:24

palkiver

为你点赞~

2024-6-25 18:22

sky东

非常支持你的观点！

2024-6-25 15:53

zhouteng1997

期待更多优质内容的分享，论坛有你更精彩！

2024-6-25 15:35

maidou

为你点赞~

2023-11-24 09:46

zhczf

为你点赞~

2023-11-13 00:32

yjd

为你点赞~

2023-9-22 15:46

tank小王子

为你点赞~

2023-8-9 11:35

qqcs

为你点赞~

2023-7-21 15:14

一个懵懂的SB

为你点赞~

2023-2-13 17:46

PLEBFE

为你点赞~

2022-7-30 05:27

shinratensei

为你点赞~

2022-7-15 11:17

伟叔叔

为你点赞~

2022-7-15 11:10

星辰·Star

为你点赞~

2022-6-23 09:49

Bombs

为你点赞~

2022-6-20 14:54

风中小筑V

为你点赞~

2022-6-17 22:05

户大

为你点赞~

2022-6-17 18:04

一半人生

为你点赞~

2022-6-17 17:53

syser

为你点赞~

2022-6-17 01:32

欧阳休

为你点赞~

2022-6-16 19:44

囧囧

为你点赞~

2022-6-16 10:38

sxpp

为你点赞~

2022-6-16 10:36

Foodie

为你点赞~

2022-6-16 10:19

dx苹果的心愿

为你点赞~

2022-6-16 09:36

鱼木

为你点赞~

2022-6-16 09:15

はつゆき

为你点赞~

2022-6-16 08:28

最新回复 (32) 1 2 ▶
はつゆき雪币： 1641 活跃值： (3601) 能力值： (RANK：15 ) 在线值：发帖 15 回帖 396 粉丝 42 关注私信	はつゆき 2 楼有意思 2022-6-16 08:28 0
syser 雪币： 4225 活跃值： (5480) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 240 粉丝 9 关注私信	syser 3 楼不错的研究 2022-6-16 10:07 0
ldljlzw 雪币： 9623 活跃值： (5261) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 437 粉丝 2 关注私信	ldljlzw 4 楼这个很不错,看了不得不回一下! 2022-6-16 10:46 0
TkBinary 雪币： 172 活跃值： (10343) 能力值： ( LV13，RANK：385 ) 在线值：发帖 25 回帖 429 粉丝 220 关注私信	TkBinary 5 5 楼谢谢分享 2022-6-16 10:52 0
xwtwho 雪币： 3731 活跃值： (7434) 能力值： ( LV13，RANK：409 ) 在线值：发帖 15 回帖 109 粉丝 227 关注私信	xwtwho 1 6 楼谢谢分享，之前本地都是启动关掉DSE的，后面试试你这个方法 2022-6-16 12:01 0
kakasasa 雪币： 577 活跃值： (2035) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 294 粉丝 5 关注私信	kakasasa 7 楼 mark 感谢分享 2022-6-16 16:52 0
fengyunabc 雪币： 4030 活跃值： (4297) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 542 粉丝 27 关注私信	fengyunabc 1 8 楼感谢分享！ 2022-6-16 19:22 0
shun其自然雪币： 3144 活跃值： (1624) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 50 粉丝 4 关注私信	shun其自然 9 楼意义不是很大 2022-6-17 00:15 0
万剑归宗雪币： 914 活跃值： (2678) 能力值： ( LV5，RANK：68 ) 在线值：发帖 6 回帖 519 粉丝 36 关注私信	万剑归宗 1 10 楼一眼CPUZ 2022-6-17 08:57 0
二娃雪币： 6313 活跃值： (1117) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 59 粉丝 3 关注私信	二娃 11 楼感谢楼主分享 2022-6-17 17:38 0
killleer 雪币： 1556 活跃值： (2332) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 78 粉丝 11 关注私信	killleer 12 楼万剑归宗一眼CPUZ 一眼某apt三连白驱动 2022-6-17 18:08 0
风中小筑V 雪币： 1378 活跃值： (3067) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 81 粉丝 2 关注私信	风中小筑V 13 楼有意思 2022-6-17 22:05 0
Grav1ty 雪币： 1922 活跃值： (4221) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 45 粉丝 3 关注私信	Grav1ty 14 楼谢谢分享 2022-6-20 01:52 0
pizazzboy 雪币： 4733 活跃值： (1965) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 21 粉丝 2 关注私信	pizazzboy 15 楼谢谢分享 2022-6-20 08:47 0
dearfuture 雪币： 2408 活跃值： (2802) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 64 粉丝 1 关注私信	dearfuture 16 楼如果编辑xml去掉被拉黑的签名，然后转成p7b替换掉C:\Windows\System32\CodeIntegrity\driversipolicy.p7b，那被拉黑的签名是不是再这台机就能用了？ 2022-6-20 17:17 0
dearfuture 雪币： 2408 活跃值： (2802) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 64 粉丝 1 关注私信	dearfuture 17 楼顺便问一下，是哪条规则把上海域联拉黑的？我按证书信息的“指纹”，颁发者，shanghai之类的都没在xml搜到 2022-6-20 17:36 0
wx_0xC05StackOver 雪币： 208 活跃值： (1983) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 116 粉丝 13 关注私信	wx_0xC05StackOver 18 楼有意思 2022-6-21 11:22 0
saloyun 雪币： 836 活跃值： (3288) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 255 粉丝 2 关注私信	saloyun 19 楼厉害啊。。。 2022-6-21 16:12 0
飘零丶雪币： 6491 活跃值： (165500) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 21 粉丝 4 关注私信	飘零丶 20 楼感谢分享 2022-7-11 11:14 0
醉後的温柔雪币： 463 活跃值： (1186) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 166 粉丝 23 关注私信	醉後的温柔 21 楼你那里又不缺证书使用我丢了那么多给你你还去研究这个？ 2022-7-11 14:13 0
简单未遂雪币： 59 活跃值： (740) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 15 关注私信	简单未遂 22 楼回复17楼: https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/microsoft-recommended-driver-block-rules 在这里可以看到。最后于 2022-7-13 02:26 被简单未遂编辑，原因： 2022-7-13 02:10 0
简单未遂雪币： 59 活跃值： (740) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 15 关注私信	简单未遂 23 楼多学点技术没坏处回复21楼你那里又不缺证书使用我丢了那么多给你你还去研究这个？ 2022-7-13 02:32 0
天堂猪雪币： 177 活跃值： (278) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 95 粉丝 0 关注私信	天堂猪 24 楼删了文件好像也没什么效果。那这个文件存在的意义是什么最后于 2022-8-18 10:37 被天堂猪编辑，原因： 2022-8-17 17:05 0
YZJClear 雪币： 1192 活跃值： (599) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 34 粉丝 0 关注私信	YZJClear 25 楼醉後的温柔你那里又不缺证书使用我丢了那么多给你你还去研究这个？大佬给我丢几个yaozhenj@qq.om 2023-8-23 21:59 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

简单未遂

发帖

回帖

RANK

关注

私信

他的文章

windows10及以上本地驱动加载黑名单查看 37143
技术性错误 9536

关于我们

联系我们

企业服务

看雪公众号

最新回复 (32) 1 2 ▶
はつゆき雪币： 1641 活跃值： (3601) 能力值： (RANK：15 ) 在线值：发帖 15 回帖 396 粉丝 42 关注私信	はつゆき 2 楼有意思 2022-6-16 08:28 0
syser 雪币： 4225 活跃值： (5480) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 240 粉丝 9 关注私信	syser 3 楼不错的研究 2022-6-16 10:07 0
ldljlzw 雪币： 9623 活跃值： (5261) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 437 粉丝 2 关注私信	ldljlzw 4 楼这个很不错,看了不得不回一下! 2022-6-16 10:46 0
TkBinary 雪币： 172 活跃值： (10343) 能力值： ( LV13，RANK：385 ) 在线值：发帖 25 回帖 429 粉丝 220 关注私信	TkBinary 5 5 楼谢谢分享 2022-6-16 10:52 0
xwtwho 雪币： 3731 活跃值： (7434) 能力值： ( LV13，RANK：409 ) 在线值：发帖 15 回帖 109 粉丝 227 关注私信	xwtwho 1 6 楼谢谢分享，之前本地都是启动关掉DSE的，后面试试你这个方法 2022-6-16 12:01 0
kakasasa 雪币： 577 活跃值： (2035) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 294 粉丝 5 关注私信	kakasasa 7 楼 mark 感谢分享 2022-6-16 16:52 0
fengyunabc 雪币： 4030 活跃值： (4297) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 542 粉丝 27 关注私信	fengyunabc 1 8 楼感谢分享！ 2022-6-16 19:22 0
shun其自然雪币： 3144 活跃值： (1624) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 50 粉丝 4 关注私信	shun其自然 9 楼意义不是很大 2022-6-17 00:15 0
万剑归宗雪币： 914 活跃值： (2678) 能力值： ( LV5，RANK：68 ) 在线值：发帖 6 回帖 519 粉丝 36 关注私信	万剑归宗 1 10 楼一眼CPUZ 2022-6-17 08:57 0
二娃雪币： 6313 活跃值： (1117) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 59 粉丝 3 关注私信	二娃 11 楼感谢楼主分享 2022-6-17 17:38 0
killleer 雪币： 1556 活跃值： (2332) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 78 粉丝 11 关注私信	killleer 12 楼万剑归宗一眼CPUZ 一眼某apt三连白驱动 2022-6-17 18:08 0
风中小筑V 雪币： 1378 活跃值： (3067) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 81 粉丝 2 关注私信	风中小筑V 13 楼有意思 2022-6-17 22:05 0
Grav1ty 雪币： 1922 活跃值： (4221) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 45 粉丝 3 关注私信	Grav1ty 14 楼谢谢分享 2022-6-20 01:52 0
pizazzboy 雪币： 4733 活跃值： (1965) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 21 粉丝 2 关注私信	pizazzboy 15 楼谢谢分享 2022-6-20 08:47 0
dearfuture 雪币： 2408 活跃值： (2802) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 64 粉丝 1 关注私信	dearfuture 16 楼如果编辑xml去掉被拉黑的签名，然后转成p7b替换掉C:\Windows\System32\CodeIntegrity\driversipolicy.p7b，那被拉黑的签名是不是再这台机就能用了？ 2022-6-20 17:17 0
dearfuture 雪币： 2408 活跃值： (2802) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 64 粉丝 1 关注私信	dearfuture 17 楼顺便问一下，是哪条规则把上海域联拉黑的？我按证书信息的“指纹”，颁发者，shanghai之类的都没在xml搜到 2022-6-20 17:36 0
wx_0xC05StackOver 雪币： 208 活跃值： (1983) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 116 粉丝 13 关注私信	wx_0xC05StackOver 18 楼有意思 2022-6-21 11:22 0
saloyun 雪币： 836 活跃值： (3288) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 255 粉丝 2 关注私信	saloyun 19 楼厉害啊。。。 2022-6-21 16:12 0
飘零丶雪币： 6491 活跃值： (165500) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 21 粉丝 4 关注私信	飘零丶 20 楼感谢分享 2022-7-11 11:14 0
醉後的温柔雪币： 463 活跃值： (1186) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 166 粉丝 23 关注私信	醉後的温柔 21 楼你那里又不缺证书使用我丢了那么多给你你还去研究这个？ 2022-7-11 14:13 0
简单未遂雪币： 59 活跃值： (740) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 15 关注私信	简单未遂 22 楼回复17楼: https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/microsoft-recommended-driver-block-rules 在这里可以看到。最后于 2022-7-13 02:26 被简单未遂编辑，原因： 2022-7-13 02:10 0
简单未遂雪币： 59 活跃值： (740) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 15 关注私信	简单未遂 23 楼多学点技术没坏处回复21楼你那里又不缺证书使用我丢了那么多给你你还去研究这个？ 2022-7-13 02:32 0
天堂猪雪币： 177 活跃值： (278) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 95 粉丝 0 关注私信	天堂猪 24 楼删了文件好像也没什么效果。那这个文件存在的意义是什么最后于 2022-8-18 10:37 被天堂猪编辑，原因： 2022-8-17 17:05 0
YZJClear 雪币： 1192 活跃值： (599) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 34 粉丝 0 关注私信	YZJClear 25 楼醉後的温柔你那里又不缺证书使用我丢了那么多给你你还去研究这个？大佬给我丢几个yaozhenj@qq.om 2023-8-23 21:59 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

windows10及以上本地驱动加载黑名单查看

账号登录 验证码登录

账号登录

验证码登录