-
-
[原创] Vista ~ Win11动态过DSE(Driver Signature Enforcement)
-
发表于: 10小时前
-
从 Windows Vista 开始微软引入了驱动签名强制(Driver Signature Enforcement)
具体文章在这:
https://learn.microsoft.com/zh-cn/windows-hardware/drivers/install/windows-driver-signing-tutorial
这东西只要开着只要驱动没签名就加不上
但是这东西是可以动态关掉的
WKE里就有这个功能
那又要怎么实现呢?
其实很简单找ci.dll里的g_CiOptions地址然后改成0即可
但是g_CiOptions的偏移不是固定的在不同的系统上有变化
但是ci.dll是有pdb的可以现场解析pdb找偏移
但是断网就寄了
所以最简单的方法就是硬编码
EfiGuard的项目里就有类似的源码可以 (抄)
https://github.com/Mattiwatti/EfiGuard/blob/master/Application/EfiDSEFix/src/EfiDSEFix.cpp
至此获取地址解决了
但是这东西必须要在内核里改
总不能写个驱动去改吧
那还不如直接签名呢(
其实可以去找有任意地址读写的驱动
我这里直接就用RTCore来演示了(
关闭后即可加载驱动
开起来又加载不了了(0是完全关闭,6是开启,8是测试模式)
注意!不改回来会触发PatchGuard蓝屏
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
|
|
|---|---|
