-
-
[原创] Vista ~ Win11动态过DSE(Driver Signature Enforcement)
-
发表于: 2024-11-23 15:19
-
从 Windows Vista 开始微软引入了驱动签名强制(Driver Signature Enforcement)
具体文章在这:
https://learn.microsoft.com/zh-cn/windows-hardware/drivers/install/windows-driver-signing-tutorial
这东西只要开着只要驱动没签名就加不上
但是这东西是可以动态关掉的
WKE里就有这个功能
那又要怎么实现呢?
其实很简单找ci.dll里的g_CiOptions地址然后改成0即可
但是g_CiOptions的偏移不是固定的在不同的系统上有变化
但是ci.dll是有pdb的可以现场解析pdb找偏移
但是断网就寄了
所以最简单的方法就是硬编码
EfiGuard的项目里就有类似的源码可以 (抄)
https://github.com/Mattiwatti/EfiGuard/blob/master/Application/EfiDSEFix/src/EfiDSEFix.cpp
至此获取地址解决了
但是这东西必须要在内核里改
总不能写个驱动去改吧
那还不如直接签名呢(
其实可以去找有任意地址读写的驱动
我这里直接就用RTCore来演示了(
关闭后即可加载驱动
开起来又加载不了了(0是完全关闭,6是开启,8是测试模式)
注意!不改回来会触发PatchGuard蓝屏
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
赞赏记录
参与人
雪币
留言
时间
罗小墨
为你点赞!
2024-11-27 11:00
Hades一KXXY
你的分享对大家帮助很大,非常感谢!
2024-11-26 09:56
mb_ipzdzrfi
非常支持你的观点!
2024-11-23 22:34
|
|
|---|---|
|
|
|
|
|
加载完驱动再开回去就不会 |
|
|
那就非常nice了 ,楼主能否开源或者提供个dll版的方便调用呢 ? |
|
|
这个东西挺简单的,取这个地址的方法也有很多,最简单的就直接ci.dll地址+偏移(win10是0x3a308)就是g_CiOptions的地址直接改成0 就行了 |
|
|
|
|
|
确实是,写了个demo测试了下,还原还是蓝~ |
|
|
通过已签名的驱动加载未签名的会蓝吗? |
|
|
现成的方案 kdmapper |
|
|
OpenArk也是关DSE来加载的,OpenArk开源的源代码是5年前的新版用的RTCore关DSE,蓝屏大概率是地址问题 |
