首页
社区
课程
招聘
windows10及以上本地驱动加载黑名单查看
发表于: 2022-6-16 07:23 34245

windows10及以上本地驱动加载黑名单查看

2022-6-16 07:23
34245

之前测试程序一直用上海域联的签名进行测试,后来有一天发现用不了,突然意识到windows开始使用证书黑名单策略了。它的这个策略不仅会在系统启动以后拦截驱动加载,还可以拦截boot启动的驱动。它的这个策略是通过系统更新下发的。如果你的系统已经加载了黑签名签过的驱动,策略更新将会失败,这样有效的避免了因拦截驱动加载可能引发的一系列问题。
昨天看到论坛上有人讨论这个问题,原帖在这里,评论区有人提到了这个问题且给出了微软的官方说明
既然这个文件更新到本地的话,它到底保存在哪里呢?可不可以查看?可不可以修改呢?带着这些问题我出发了。最后在C:\Windows\System32\CodeIntegrity\driversipolicy.p7b 下找到了。
结果发现并不是XML格式。后来在github上找到了把二进制转化为XML的脚本。
1、启用脚本执行 set-ExecutionPolicy RemoteSigned

注:必须使用管理员权限

2、导入脚本,我的脚本文件夹在桌面。
cd C:\Users\test\Desktop
Import-Module .\WDACTools

3、执行脚本函数转换格式 ConvertTo-WDACCodeIntegrityPolicy
然后依次输入要转换的源文件路径和转换后的文件路径


到这里已经转换成功了。

XML格式转p7b的话,直接使用原生命令就可以
ConvertFrom-CIPolicy -XmlFilePath XML路径 -BinaryFilePath p7b文件路径
修改完以后重新转换成p7b格式替换掉原来的文件就可以了。

参考来源
启用脚本执行
xml格式转p7b格式
脚本github地址


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

最后于 2022-6-16 07:44 被简单未遂编辑 ,原因:
上传的附件:
收藏
免费 25
支持
分享
最新回复 (28)
雪    币: 1641
活跃值: (3601)
能力值: (RANK:15 )
在线值:
发帖
回帖
粉丝
2
有意思
2022-6-16 08:28
0
雪    币: 3663
活跃值: (4841)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
不错的研究 
2022-6-16 10:07
0
雪    币: 9034
活跃值: (4413)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
这个很不错,看了不得不回一下!
2022-6-16 10:46
0
雪    币: 940
活跃值: (9936)
能力值: ( LV13,RANK:385 )
在线值:
发帖
回帖
粉丝
5
谢谢分享
2022-6-16 10:52
0
雪    币: 3221
活跃值: (6924)
能力值: ( LV13,RANK:409 )
在线值:
发帖
回帖
粉丝
6
谢谢分享,之前本地都是启动关掉DSE的,后面试试你这个方法
2022-6-16 12:01
0
雪    币: 576
活跃值: (2035)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
mark  感谢 分享
2022-6-16 16:52
0
雪    币: 3785
活跃值: (3947)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
8
感谢分享!
2022-6-16 19:22
0
雪    币: 3144
活跃值: (1624)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
意义不是 很大
2022-6-17 00:15
0
雪    币: 914
活跃值: (2548)
能力值: ( LV5,RANK:68 )
在线值:
发帖
回帖
粉丝
10
一眼CPUZ
2022-6-17 08:57
0
雪    币: 6314
活跃值: (962)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
11
感谢楼主分享
2022-6-17 17:38
0
雪    币: 1556
活跃值: (2312)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
万剑归宗 一眼CPUZ
一眼某apt三连白驱动
2022-6-17 18:08
0
雪    币: 1378
活跃值: (3067)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
有意思
2022-6-17 22:05
0
雪    币: 1869
活跃值: (4151)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
谢谢分享
2022-6-20 01:52
0
雪    币: 4532
活跃值: (1710)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
谢谢分享
2022-6-20 08:47
0
雪    币: 2428
活跃值: (2597)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
如果编辑xml去掉被拉黑的签名,然后转成p7b替换掉C:\Windows\System32\CodeIntegrity\driversipolicy.p7b,那被拉黑的签名是不是再这台机就能用了?
2022-6-20 17:17
0
雪    币: 2428
活跃值: (2597)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17
顺便问一下,是哪条规则把上海域联拉黑的?我按证书信息的“指纹”,颁发者,shanghai之类的都没在xml搜到
2022-6-20 17:36
0
雪    币: 210
活跃值: (1847)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
18
有意思
2022-6-21 11:22
0
雪    币: 457
活跃值: (2793)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
19
厉害啊。。。
2022-6-21 16:12
0
雪    币: 4494
活跃值: (163795)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
20
感谢分享
2022-7-11 11:14
0
雪    币: 463
活跃值: (1186)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
21
你那里又不缺证书使用  我丢了那么多给你  你还去研究这个?
2022-7-11 14:13
0
雪    币: 59
活跃值: (740)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
22

回复17楼:

https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/microsoft-recommended-driver-block-rules 在这里可以看到。

最后于 2022-7-13 02:26 被简单未遂编辑 ,原因:
2022-7-13 02:10
0
雪    币: 59
活跃值: (740)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
23

多学点技术没坏处

回复21楼  你那里又不缺证书使用  我丢了那么多给你  你还去研究这个?

2022-7-13 02:32
0
雪    币: 177
活跃值: (278)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
24

删了文件好像也没什么效果。那这个文件存在的意义是什么

最后于 2022-8-18 10:37 被天堂猪编辑 ,原因:
2022-8-17 17:05
0
雪    币: 1190
活跃值: (498)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
25
醉後的温柔 你那里又不缺证书使用 我丢了那么多给你 你还去研究这个?
大佬给我丢几个yaozhenj@qq.om
2023-8-23 21:59
0
游客
登录 | 注册 方可回帖
返回
//