忽然发现WIN64上这么多驱动都是没有签名的！它们是怎么加载的呢？

Tesla.Angela

1. 
   
2. Win64 Advanced System Tool - Kernel module viewer
   
3. =================================================
   
4. 
   
5. 1.Show all items
   
6. 2.Show items without signature
   
7. 0.Go back
   
8. 
   
9. Input your selection: 2
   
10. 
    
11. ID      Base Address            Full Path
    
12. --      ------------            ---------
    
13. 0048    0xfffff88001960000      C:\Windows\system32\DRIVERS\cdrom.sys
    
14. 0050    0xfffff88001996000      C:\Windows\System32\Drivers\Null.SYS
    
15. 0051    0xfffff8800199f000      C:\Windows\System32\Drivers\Beep.SYS
    
16. 0052    0xfffff880019a6000      C:\Windows\System32\drivers\vga.sys
    
17. 0053    0xfffff880019b4000      C:\Windows\System32\drivers\VIDEOPRT.SYS
    
18. 0054    0xfffff880019d9000      C:\Windows\System32\drivers\watchdog.sys
    
19. 0055    0xfffff880019e9000      C:\Windows\System32\DRIVERS\RDPCDD.sys
    
20. 0056    0xfffff880019f2000      C:\Windows\system32\drivers\rdpencdd.sys
    
21. 0057    0xfffff88001800000      C:\Windows\system32\drivers\rdprefmp.sys
    
22. 0058    0xfffff88001809000      C:\Windows\System32\Drivers\Msfs.SYS
    
23. 0059    0xfffff88001814000      C:\Windows\System32\Drivers\Npfs.SYS
    
24. 0060    0xfffff88001825000      C:\Windows\system32\DRIVERS\tdx.sys
    
25. 0061    0xfffff88001843000      C:\Windows\system32\DRIVERS\TDI.SYS
    
26. 0062    0xfffff88004229000      C:\Windows\system32\drivers\afd.sys
    
27. 0063    0xfffff880042b3000      C:\Windows\System32\DRIVERS\netbt.sys
    
28. 0064    0xfffff880042f8000      C:\Windows\system32\DRIVERS\wfplwf.sys
    
29. 0065    0xfffff88004301000      C:\Windows\system32\DRIVERS\pacer.sys
    
30. 0066    0xfffff88004327000      C:\Windows\system32\DRIVERS\netbios.sys
    
31. 0067    0xfffff88004336000      C:\Windows\system32\DRIVERS\wanarp.sys
    
32. 0072    0xfffff88001850000      C:\Windows\system32\DRIVERS\rdbss.sys
    
33. 0074    0xfffff880043db000      C:\Windows\system32\drivers\nsiproxy.sys
    
34. 0076    0xfffff88004200000      C:\Windows\System32\drivers\discache.sys
    
35. 0077    0xfffff88005014000      C:\Windows\system32\drivers\csc.sys
    
36. 0078    0xfffff88005097000      C:\Windows\System32\Drivers\dfsc.sys
    
37. 0079    0xfffff880050b5000      C:\Windows\system32\DRIVERS\blbdrive.sys
    
38. 0080    0xfffff880050c6000      C:\Windows\system32\DRIVERS\tunnel.sys
    
39. 0081    0xfffff880050ec000      C:\Windows\system32\DRIVERS\intelppm.sys
    
40. 0084    0xfffff88005102000      C:\Windows\System32\drivers\dxgkrnl.sys
    
41. 0085    0xfffff880052e4000      C:\Windows\System32\drivers\dxgmms1.sys
    
42. 0086    0xfffff8800532a000      C:\Windows\system32\DRIVERS\usbuhci.sys
    
43. 0087    0xfffff88005337000      C:\Windows\system32\DRIVERS\USBPORT.SYS
    
44. 0088    0xfffff8800538d000      C:\Windows\system32\DRIVERS\usbehci.sys
    
45. 0089    0xfffff8800539e000      C:\Windows\system32\DRIVERS\HDAudBus.sys
    
46. 0090    0xfffff88005444000      C:\Windows\system32\DRIVERS\netw5v64.sys
    
47. 0091    0xfffff8800597f000      C:\Windows\system32\DRIVERS\Rt64win7.sys
    
48. 0092    0xfffff880059b1000      C:\Windows\system32\DRIVERS\1394ohci.sys
    
49. 0093    0xfffff88005400000      C:\Windows\system32\DRIVERS\sdbus.sys
    
50. 0094    0xfffff88005420000      C:\Windows\system32\DRIVERS\i8042prt.sys
    
51. 0097    0xfffff880059fe000      C:\Windows\system32\DRIVERS\USBD.SYS
    
52. 0099    0xfffff8800543e000      C:\Windows\system32\DRIVERS\CmBatt.sys
    
53. 0101    0xfffff88005263000      C:\Windows\system32\DRIVERS\COMPOS~1.SYS
    
54. 0102    0xfffff88005273000      C:\Windows\system32\DRIVERS\AgileVpn.sys
    
55. 0103    0xfffff88005289000      C:\Windows\system32\DRIVERS\rasl2tp.sys
    
56. 0104    0xfffff880052ad000      C:\Windows\system32\DRIVERS\ndistapi.sys
    
57. 0105    0xfffff880053c2000      C:\Windows\system32\DRIVERS\ndiswan.sys
    
58. 0106    0xfffff880052b9000      C:\Windows\system32\DRIVERS\raspppoe.sys
    
59. 0107    0xfffff880069df000      C:\Windows\system32\DRIVERS\raspptp.sys
    
60. 0108    0xfffff8800420f000      C:\Windows\system32\DRIVERS\rassstp.sys
    
61. 0110    0xfffff88006c4c000      C:\Windows\system32\DRIVERS\rdpbus.sys
    
62. 0113    0xfffff88006c87000      C:\Windows\system32\DRIVERS\ks.sys
    
63. 0114    0xfffff88006cca000      C:\Windows\system32\DRIVERS\umbus.sys
    
64. 0115    0xfffff88006cdc000      C:\Windows\system32\DRIVERS\usbhub.sys
    
65. 0116    0xfffff88006d36000      C:\Windows\System32\Drivers\NDProxy.SYS
    
66. 0117    0xfffff88006d4b000      C:\Windows\system32\drivers\HdAudio.sys
    
67. 0118    0xfffff88006da7000      C:\Windows\system32\drivers\portcls.sys
    
68. 0119    0xfffff88006c00000      C:\Windows\system32\drivers\drmk.sys
    
69. 0120    0xfffff88006de4000      C:\Windows\system32\drivers\ksthunk.sys
    
70. 0121    0xfffff960000c0000      C:\Windows\System32\win32k.sys
    
71. 0122    0xfffff88006dea000      C:\Windows\System32\drivers\Dxapi.sys
    
72. 0124    0xfffff880053f1000      C:\Windows\System32\Drivers\dump_dumpata.sys
    
73. 0125    0xfffff88006df6000      C:\Windows\System32\Drivers\dump_atapi.sys
    
74. 0126    0xfffff88005000000      C:\Windows\System32\Drivers\dump_dumpfve.sys
    
75. 0127    0xfffff8800192a000      C:\Windows\system32\DRIVERS\usbccgp.sys
    
76. 0128    0xfffff88000ddb000      C:\Windows\system32\DRIVERS\ZTETDM~1.SYS
    
77. 0129    0xfffff88001947000      C:\Windows\system32\drivers\modem.sys
    
78. 0130    0xfffff88003e0f000      C:\Windows\system32\DRIVERS\ZTETDD~1.SYS
    
79. 0131    0xfffff88003e34000      C:\Windows\system32\DRIVERS\ZTETDN~1.SYS
    
80. 0132    0xfffff88003e59000      C:\Windows\system32\DRIVERS\ZTETDMMS.sys
    
81. 0133    0xfffff88003e7e000      C:\Windows\system32\DRIVERS\USBSTOR.SYS
    
82. 0134    0xfffff88003e99000      C:\Windows\system32\DRIVERS\monitor.sys
    
83. 0135    0xfffff88003ea7000      C:\Windows\System32\Drivers\BTHUSB.sys
    
84. 0136    0xfffff88003ebf000      C:\Windows\System32\Drivers\bthport.sys
    
85. 0137    0xfffff88003f4b000      C:\Windows\system32\DRIVERS\hidusb.sys
    
86. 0138    0xfffff88003f59000      C:\Windows\system32\DRIVERS\HIDCLASS.SYS
    
87. 0139    0xfffff88003f72000      C:\Windows\system32\DRIVERS\HIDPARSE.SYS
    
88. 0140    0xfffff88003f7b000      C:\Windows\System32\Drivers\usbvideo.sys
    
89. 0141    0xfffff88003fa9000      C:\Windows\system32\DRIVERS\kbdhid.sys
    
90. 0142    0xfffff88003fb7000      C:\Windows\system32\DRIVERS\mouhid.sys
    
91. 0143    0xfffff960004e0000      C:\Windows\System32\TSDDD.dll
    
92. 0144    0xfffff88003fc4000      C:\Windows\system32\DRIVERS\rfcomm.sys
    
93. 0145    0xfffff88003ff0000      C:\Windows\system32\DRIVERS\BthEnum.sys
    
94. 0146    0xfffff880013df000      C:\Windows\system32\DRIVERS\bthpan.sys
    
95. 0147    0xfffff88000e79000      C:\Windows\system32\DRIVERS\bthmodem.sys
    
96. 0148    0xfffff88007806000      C:\Windows\system32\DRIVERS\hidbth.sys
    
97. 0149    0xfffff96000650000      C:\Windows\System32\cdd.dll
    
98. 0150    0xfffff88007824000      C:\Windows\system32\drivers\luafv.sys
    
99. 0151    0xfffff88007847000      C:\Windows\system32\DRIVERS\lltdio.sys
    
100. 0152    0xfffff8800785c000      C:\Windows\system32\DRIVERS\nwifi.sys
     
101. 0153    0xfffff880078af000      C:\Windows\system32\DRIVERS\ndisuio.sys
     
102. 0154    0xfffff880078c2000      C:\Windows\system32\DRIVERS\rspndr.sys
     
103. 0156    0xfffff880078ed000      C:\Windows\system32\drivers\HTTP.sys
     
104. 0157    0xfffff880079b5000      C:\Windows\system32\DRIVERS\bowser.sys
     
105. 0158    0xfffff880079d3000      C:\Windows\System32\drivers\mpsdrv.sys
     
106. 0159    0xfffff880094c5000      C:\Windows\system32\DRIVERS\mrxsmb.sys
     
107. 0160    0xfffff880094f1000      C:\Windows\system32\DRIVERS\mrxsmb10.sys
     
108. 0161    0xfffff8800953e000      C:\Windows\system32\DRIVERS\mrxsmb20.sys
     
109. 0162    0xfffff88009561000      C:\Windows\System32\Drivers\secdrv.SYS
     
110. 0163    0xfffff8800956c000      C:\Windows\System32\DRIVERS\srvnet.sys
     
111. 0164    0xfffff88009599000      C:\Windows\System32\drivers\tcpipreg.sys
     
112. 0165    0xfffff88009400000      C:\Windows\System32\DRIVERS\srv2.sys
     
113. 0166    0xfffff8800aeda000      C:\Windows\System32\DRIVERS\srv.sys
     
114. 0167    0xfffff8800af72000      C:\Windows\system32\DRIVERS\cdfs.sys
     
115. 0169    0xfffff8800ae71000      C:\Windows\system32\DRIVERS\asyncmac.sys
     

复制代码

又看到了beep.sys，能做什么大家知道了吧。。。

oopww

:loveliness: 我来广州了！~~~~

马大哈

oopww 发表于 2011-8-20 15:45
我来广州了！~~~~

{:1_95:}欢迎

zuoyefeng1

话说x64不是限制了没有签名的驱动加载了的么？难道还另外有个白名单？

Tesla.Angela

zuoyefeng1 发表于 2011-8-22 15:10
话说x64不是限制了没有签名的驱动加载了的么？难道还另外有个白名单？

所以我才感觉奇怪。。。
我一开始以为是我的软件判断错误，后来对着列表中的文件按“属性”，发现真的没有数字签名的。。。

sWZ

还是老路子，没啥创新的东西呀，在全hips下这些东西都木有用
倒是可以尝试一下新的技术。64位下扩展了许多32位下没有的驱动信息--
其实是。因为许多设备厂商没有提供64位驱动造成的空档，64位下许多第三方驱动也写的很烂
说来说去又到0day上了。三位一体的保护现在还没有。即使保护了
也可以利用现在一些新的接口来进行封锁突破-比如SSD盘的一些接口操作

x64asm

Tesla.Angela 发表于 2011-8-22 16:04
所以我才感觉奇怪。。。
我一开始以为是我的软件判断错误，后来对着列表中的文件按“属性”，发现真的没 ...

人家是另外有CAT编录文件。而非直接在SYS里。
都是有数字签名的，代码完整性检验是检验CAT编录的。
唉/。

Tesla.Angela

x64asm 发表于 2012-1-12 16:33
人家是另外有CAT编录文件。而非直接在SYS里。
都是有数字签名的，代码完整性检验是检验CAT编录的。
唉/。 ...

明白了

billypon

我64位系统要用openvpn，有没办法？
官方的openvpn驱动是没有数字签名的

Tesla.Angela

billypon 发表于 2012-1-17 09:30
我64位系统要用openvpn，有没办法？
官方的openvpn驱动是没有数字签名的

见此贴：http://www.vbasm.com/forum.php?mod=viewthread&tid=5893