windows10及以上本地驱动加载黑名单查看-编程技术-看雪-安全社区|安全招聘|kanxue.com

windows10及以上本地驱动加载黑名单查看

2022-6-16 07:23 29267

windows10及以上本地驱动加载黑名单查看

简单未遂

2022-6-16 07:23

29267

之前测试程序一直用上海域联的签名进行测试，后来有一天发现用不了，突然意识到windows开始使用证书黑名单策略了。它的这个策略不仅会在系统启动以后拦截驱动加载，还可以拦截boot启动的驱动。它的这个策略是通过系统更新下发的。如果你的系统已经加载了黑签名签过的驱动，策略更新将会失败，这样有效的避免了因拦截驱动加载可能引发的一系列问题。
昨天看到论坛上有人讨论这个问题，原帖在这里，评论区有人提到了这个问题且给出了微软的官方说明
既然这个文件更新到本地的话，它到底保存在哪里呢？可不可以查看？可不可以修改呢？带着这些问题我出发了。最后在C:\Windows\System32\CodeIntegrity\driversipolicy.p7b 下找到了。
结果发现并不是XML格式。后来在github上找到了把二进制转化为XML的脚本。
1、启用脚本执行 set-ExecutionPolicy RemoteSigned

注：必须使用管理员权限

2、导入脚本，我的脚本文件夹在桌面。
cd C:\Users\test\Desktop
Import-Module .\WDACTools

3、执行脚本函数转换格式 ConvertTo-WDACCodeIntegrityPolicy
然后依次输入要转换的源文件路径和转换后的文件路径

到这里已经转换成功了。

XML格式转p7b的话，直接使用原生命令就可以
ConvertFrom-CIPolicy -XmlFilePath XML路径 -BinaryFilePath p7b文件路径
修改完以后重新转换成p7b格式替换掉原来的文件就可以了。

参考来源
启用脚本执行
 xml格式转p7b格式
 脚本github地址

阿里云助力开发者！2核2G 3M带宽不限流量！6.18限时价，开发者可享99元/年，续费同价！

最后于 2022-6-16 07:44 被简单未遂编辑，原因：

#开源分享

上传的附件：

WDACTools.7z （26.88kb，246次下载）

收藏・88

点赞・22

打赏

最新回复 (26) 1 2 ▶
はつゆき雪币： 1641 活跃值： (3601) 能力值： (RANK：15 ) 在线值：发帖 15 回帖 401 粉丝 40 关注私信	はつゆき 2022-6-16 08:28 2 楼 0 有意思
syser 雪币： 2705 活跃值： (3813) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 232 粉丝 7 关注私信	syser 2022-6-16 10:07 3 楼 0 不错的研究
ldljlzw 雪币： 8029 活跃值： (3182) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 407 粉丝 1 关注私信	ldljlzw 2022-6-16 10:46 4 楼 0 这个很不错,看了不得不回一下!
TkBinary 雪币： 1466 活跃值： (9285) 能力值： ( LV13，RANK：385 ) 在线值：发帖 19 回帖 390 粉丝 201 关注私信	TkBinary 5 2022-6-16 10:52 5 楼 0 谢谢分享
xwtwho 雪币： 2223 活跃值： (5940) 能力值： ( LV13，RANK：409 ) 在线值：发帖 15 回帖 99 粉丝 205 关注私信	xwtwho 1 2022-6-16 12:01 6 楼 0 谢谢分享，之前本地都是启动关掉DSE的，后面试试你这个方法
kakasasa 雪币： 576 活跃值： (2035) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 293 粉丝 5 关注私信	kakasasa 2022-6-16 16:52 7 楼 0 mark 感谢分享
fengyunabc 雪币： 3438 活跃值： (3487) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 515 粉丝 25 关注私信	fengyunabc 1 2022-6-16 19:22 8 楼 0 感谢分享！
shun其自然雪币： 3144 活跃值： (1624) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 49 粉丝 4 关注私信	shun其自然 2022-6-17 00:15 9 楼 0 意义不是很大
万剑归宗雪币： 914 活跃值： (2188) 能力值： ( LV5，RANK：68 ) 在线值：发帖 6 回帖 545 粉丝 33 关注私信	万剑归宗 1 2022-6-17 08:57 10 楼 0 一眼CPUZ
二娃雪币： 6314 活跃值： (824) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 56 粉丝 3 关注私信	二娃 2022-6-17 17:38 11 楼 0 感谢楼主分享
killleer 雪币： 1556 活跃值： (2122) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 78 粉丝 10 关注私信	killleer 2022-6-17 18:08 12 楼 0 万剑归宗一眼CPUZ 一眼某apt三连白驱动
风中小筑V 雪币： 1378 活跃值： (3067) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 83 粉丝 1 关注私信	风中小筑V 2022-6-17 22:05 13 楼 0 有意思
Grav1ty 雪币： 1817 活跃值： (4100) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 49 粉丝 3 关注私信	Grav1ty 2022-6-20 01:52 14 楼 0 谢谢分享
pizazzboy 雪币： 4173 活跃值： (1340) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 2 关注私信	pizazzboy 2022-6-20 08:47 15 楼 0 谢谢分享
dearfuture 雪币： 2428 活跃值： (2292) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 58 粉丝 1 关注私信	dearfuture 2022-6-20 17:17 16 楼 0 如果编辑xml去掉被拉黑的签名，然后转成p7b替换掉C:\Windows\System32\CodeIntegrity\driversipolicy.p7b，那被拉黑的签名是不是再这台机就能用了？
dearfuture 雪币： 2428 活跃值： (2292) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 58 粉丝 1 关注私信	dearfuture 2022-6-20 17:36 17 楼 0 顺便问一下，是哪条规则把上海域联拉黑的？我按证书信息的“指纹”，颁发者，shanghai之类的都没在xml搜到
wx_0xC05StackOver 雪币： 225 活跃值： (1487) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 111 粉丝 13 关注私信	wx_0xC05StackOver 2022-6-21 11:22 18 楼 0 有意思
saloyun 雪币： 149 活跃值： (2058) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 223 粉丝 0 关注私信	saloyun 2022-6-21 16:12 19 楼 0 厉害啊。。。
飘零丶雪币： 790 活跃值： (160700) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 20 粉丝 3 关注私信	飘零丶 2022-7-11 11:14 20 楼 0 感谢分享
醉後的温柔雪币： 407 活跃值： (1096) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 174 粉丝 19 关注私信	醉後的温柔 2022-7-11 14:13 21 楼 0 你那里又不缺证书使用我丢了那么多给你你还去研究这个？
简单未遂雪币： 59 活跃值： (742) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 8 粉丝 13 关注私信	简单未遂 2022-7-13 02:10 22 楼 0 回复17楼: https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/microsoft-recommended-driver-block-rules 在这里可以看到。最后于 2022-7-13 02:26 被简单未遂编辑，原因：
简单未遂雪币： 59 活跃值： (742) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 8 粉丝 13 关注私信	简单未遂 2022-7-13 02:32 23 楼 0 多学点技术没坏处回复21楼你那里又不缺证书使用我丢了那么多给你你还去研究这个？
天堂猪雪币： 177 活跃值： (278) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 96 粉丝 0 关注私信	天堂猪 2022-8-17 17:05 24 楼 0 删了文件好像也没什么效果。那这个文件存在的意义是什么最后于 2022-8-18 10:37 被天堂猪编辑，原因：
YZJClear 雪币： 1187 活跃值： (395) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 33 粉丝 0 关注私信	YZJClear 2023-8-23 21:59 25 楼 0 醉後的温柔你那里又不缺证书使用我丢了那么多给你你还去研究这个？大佬给我丢几个yaozhenj@qq.om
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

简单未遂

发帖

回帖

RANK

关注

私信

他的文章

windows10及以上本地驱动加载黑名单查看

技术性错误

关于我们

联系我们

企业服务

看雪公众号

最新回复 (26) 1 2 ▶
はつゆき雪币： 1641 活跃值： (3601) 能力值： (RANK：15 ) 在线值：发帖 15 回帖 401 粉丝 40 关注私信	はつゆき 2022-6-16 08:28 2 楼 0 有意思
syser 雪币： 2705 活跃值： (3813) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 232 粉丝 7 关注私信	syser 2022-6-16 10:07 3 楼 0 不错的研究
ldljlzw 雪币： 8029 活跃值： (3182) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 407 粉丝 1 关注私信	ldljlzw 2022-6-16 10:46 4 楼 0 这个很不错,看了不得不回一下!
TkBinary 雪币： 1466 活跃值： (9285) 能力值： ( LV13，RANK：385 ) 在线值：发帖 19 回帖 390 粉丝 201 关注私信	TkBinary 5 2022-6-16 10:52 5 楼 0 谢谢分享
xwtwho 雪币： 2223 活跃值： (5940) 能力值： ( LV13，RANK：409 ) 在线值：发帖 15 回帖 99 粉丝 205 关注私信	xwtwho 1 2022-6-16 12:01 6 楼 0 谢谢分享，之前本地都是启动关掉DSE的，后面试试你这个方法
kakasasa 雪币： 576 活跃值： (2035) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 293 粉丝 5 关注私信	kakasasa 2022-6-16 16:52 7 楼 0 mark 感谢分享
fengyunabc 雪币： 3438 活跃值： (3487) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 515 粉丝 25 关注私信	fengyunabc 1 2022-6-16 19:22 8 楼 0 感谢分享！
shun其自然雪币： 3144 活跃值： (1624) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 49 粉丝 4 关注私信	shun其自然 2022-6-17 00:15 9 楼 0 意义不是很大
万剑归宗雪币： 914 活跃值： (2188) 能力值： ( LV5，RANK：68 ) 在线值：发帖 6 回帖 545 粉丝 33 关注私信	万剑归宗 1 2022-6-17 08:57 10 楼 0 一眼CPUZ
二娃雪币： 6314 活跃值： (824) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 56 粉丝 3 关注私信	二娃 2022-6-17 17:38 11 楼 0 感谢楼主分享
killleer 雪币： 1556 活跃值： (2122) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 78 粉丝 10 关注私信	killleer 2022-6-17 18:08 12 楼 0 万剑归宗一眼CPUZ 一眼某apt三连白驱动
风中小筑V 雪币： 1378 活跃值： (3067) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 83 粉丝 1 关注私信	风中小筑V 2022-6-17 22:05 13 楼 0 有意思
Grav1ty 雪币： 1817 活跃值： (4100) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 49 粉丝 3 关注私信	Grav1ty 2022-6-20 01:52 14 楼 0 谢谢分享
pizazzboy 雪币： 4173 活跃值： (1340) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 2 关注私信	pizazzboy 2022-6-20 08:47 15 楼 0 谢谢分享
dearfuture 雪币： 2428 活跃值： (2292) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 58 粉丝 1 关注私信	dearfuture 2022-6-20 17:17 16 楼 0 如果编辑xml去掉被拉黑的签名，然后转成p7b替换掉C:\Windows\System32\CodeIntegrity\driversipolicy.p7b，那被拉黑的签名是不是再这台机就能用了？
dearfuture 雪币： 2428 活跃值： (2292) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 58 粉丝 1 关注私信	dearfuture 2022-6-20 17:36 17 楼 0 顺便问一下，是哪条规则把上海域联拉黑的？我按证书信息的“指纹”，颁发者，shanghai之类的都没在xml搜到
wx_0xC05StackOver 雪币： 225 活跃值： (1487) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 111 粉丝 13 关注私信	wx_0xC05StackOver 2022-6-21 11:22 18 楼 0 有意思
saloyun 雪币： 149 活跃值： (2058) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 223 粉丝 0 关注私信	saloyun 2022-6-21 16:12 19 楼 0 厉害啊。。。
飘零丶雪币： 790 活跃值： (160700) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 20 粉丝 3 关注私信	飘零丶 2022-7-11 11:14 20 楼 0 感谢分享
醉後的温柔雪币： 407 活跃值： (1096) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 174 粉丝 19 关注私信	醉後的温柔 2022-7-11 14:13 21 楼 0 你那里又不缺证书使用我丢了那么多给你你还去研究这个？
简单未遂雪币： 59 活跃值： (742) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 8 粉丝 13 关注私信	简单未遂 2022-7-13 02:10 22 楼 0 回复17楼: https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/microsoft-recommended-driver-block-rules 在这里可以看到。最后于 2022-7-13 02:26 被简单未遂编辑，原因：
简单未遂雪币： 59 活跃值： (742) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 8 粉丝 13 关注私信	简单未遂 2022-7-13 02:32 23 楼 0 多学点技术没坏处回复21楼你那里又不缺证书使用我丢了那么多给你你还去研究这个？
天堂猪雪币： 177 活跃值： (278) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 96 粉丝 0 关注私信	天堂猪 2022-8-17 17:05 24 楼 0 删了文件好像也没什么效果。那这个文件存在的意义是什么最后于 2022-8-18 10:37 被天堂猪编辑，原因：
YZJClear 雪币： 1187 活跃值： (395) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 33 粉丝 0 关注私信	YZJClear 2023-8-23 21:59 25 楼 0 醉後的温柔你那里又不缺证书使用我丢了那么多给你你还去研究这个？大佬给我丢几个yaozhenj@qq.om
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复