这是一个创建于 2054 天前的主题,其中的信息可能已经有所发展或是发生改变。
安装软件遇到劫持,用 PCHunter 打开查到一个可疑驱动,安全模式删除后劫持解除.
我打开驱动文件看了下驱动签名信息,发现是被吊销的;
请问 win10 为什么还允许加载被吊销或者过期的签名驱动
我打开驱动文件看了下驱动签名信息,发现是被吊销的;
请问 win10 为什么还允许加载被吊销或者过期的签名驱动
 |
1
nanaw 2019-03-27 20:49:17 +08:00 via Android
签名验证应该是可以被禁用的吧?
我记得以前刷机的时候必须禁用这个才能装的上高通的驱动 |
 |
2
keyfunc 2019-03-27 20:51:35 +08:00  1
签名是不能被吊销的,你看到的是证书被吊销了,但微软对代码签名的验证只要你签名的时候证书是有效的并且包含了时间戳,后面验签的时候就不会有问题,好像是这样的。
|
 |
3
yicong135 OP 1
是证书被吊销
windows 签名校验机制简直太坑,现在网上都可以找到过期证书,这认证机制简直和没有一样 |
 |
4
acess 2019-03-27 21:06:29 +08:00
我也觉得 DSE 是个很迷的机制。
以前就有人吐槽过这个,说这个对付恶意软件完全是鸡肋,反倒误伤了一大片正当的个人 /开源软件: http://www.vbasm.com/blog-4158-34.html http://www.kernelmode.info/forum/viewtopic.php?t=3322 Win10 1607 的时候,微软说收紧了 DSE,然后某软粉专栏说了这个事情: https://zhuanlan.zhihu.com/p/21876577 他们拿老版本的 IDM 下载监视驱动做了实验,重现了“兼容性助手”提示“需要数字签名的驱动”的弹窗,但他们的解读不对——表面上弹窗了,实际上 idmwfp.sys 驱动还是加载了。 然而,腾讯他们又确实有报道 Win 10 1607 收紧的 DSE 政策导致反外挂系统(需要跑到内核里和外挂对掐)异常: http://speed.qq.com/webplat/info/news_version3/147/534/552/553/m15538/201608/492518.shtml |
|
5
acess 2019-03-27 21:13:35 +08:00
|
 |
6
redsonic 2019-03-27 22:22:01 +08:00 1
windows 只在安装驱动的时候检查证书,以后怎么样就不管了。
|
|
8
redsonic 2019-03-28 00:59:20 +08:00
@acess 你说的是用户空间的应用程序吧,那个确实如此。此外至少 win10 1803 还是不检查内核驱动的签名,我有个 sony md 的驱动没有签名,三年前用过期证书签了一下,现在 1803 还能加载。
|
|
9
acess 2019-03-28 01:35:02 +08:00 via Android
@redsonic 我说的是内核驱动啊。你说的那个未签名驱动不就是这样,需要用过期证书签名一下。我的意思是说虽然检查签名,但是没有严格检查吊销 /过期等情况,不管怎样,至少证书过期(且没有时间戳)是不需要联网就能检查出来的,但是微软貌似连这个检查都放松了。
|
Select Language