欢迎光临散文网 会员登陆 & 注册

内核签名绕过&FAKE内核签名

2023-08-21 23:12 作者:idadc  | 我要投稿

为什么要签名?

什么是内核签名?涉及内核驱动的代码程序必须通过签名才能在Windows系统下运行

当然,开启系统测试模式也能加载未签名的驱动,对于大众而言实属不方便

并且在测试模式下有些软件拒绝启动,比如游戏


如果写了一个游戏外挂,涉及驱动内核,那么签名是必须的


正规的签名要找专门的公司,也需要认证,恶意软件无法得到认证

这时候fake签名就很重要了


如何fake签名


首先运行EVRootCA.reg将安全证书导入注册表

安装sign_drv.pfx,需要的密码位于password.txt

运行DSigntool.exe


添加签名规则,刚刚安装的证书就是上海域联软件技术公司的,其他可不填

之后在数字签名窗口签名即可


第二个需要绕过的问题是时间戳,因为这个证书在2013年就被吊销了,只认可2011到2013年其签名的证书,我们需要把签名时间弄到之前去,不过这个时间戳也是专门机构认证的,我们无法直接修改所以我们需要自己搭建时间戳服务器


这里是搭建时间戳服务器的源码,需注意只认localhost不认127.0.01

之后需要在signtool下运行命令

signtool timestamp /t "http://tsa.pki.jemmylovejenny.tk/SHA1/2011-04-01T00:00:00" test.exe


其中服务器地址得改为localhost



相关附件链接:https://pan.quark.cn/s/ed89be624c8c


内核签名绕过&FAKE内核签名的评论 (共 条)

分享到微博请遵守国家法律