内核签名绕过&FAKE内核签名
为什么要签名?
什么是内核签名?涉及内核驱动的代码程序必须通过签名才能在Windows系统下运行
当然,开启系统测试模式也能加载未签名的驱动,对于大众而言实属不方便
并且在测试模式下有些软件拒绝启动,比如游戏
如果写了一个游戏外挂,涉及驱动内核,那么签名是必须的
正规的签名要找专门的公司,也需要认证,恶意软件无法得到认证
这时候fake签名就很重要了
如何fake签名

首先运行EVRootCA.reg将安全证书导入注册表
安装sign_drv.pfx,需要的密码位于password.txt
运行DSigntool.exe

添加签名规则,刚刚安装的证书就是上海域联软件技术公司的,其他可不填
之后在数字签名窗口签名即可

第二个需要绕过的问题是时间戳,因为这个证书在2013年就被吊销了,只认可2011到2013年其签名的证书,我们需要把签名时间弄到之前去,不过这个时间戳也是专门机构认证的,我们无法直接修改所以我们需要自己搭建时间戳服务器

这里是搭建时间戳服务器的源码,需注意只认localhost不认127.0.01
之后需要在signtool下运行命令
signtool timestamp /t "http://tsa.pki.jemmylovejenny.tk/SHA1/2011-04-01T00:00:00" test.exe
其中服务器地址得改为localhost
相关附件链接:https://pan.quark.cn/s/ed89be624c8c