|
|
注意:部分PoC使用了知名的泄露证书(比如:“HT SRL”等)进行签名,微软在最新的系统上已经将这些证书拉黑。如果您发现驱动无法加载,请使用没有被微软拉黑的证书给驱动重新进行签名,或使用signtool工具移除驱动的签名后再关闭DSE进行测试。
加载dld64.sys(主驱动)后,它会在内核里加载t64.sys(测试用的HelloWorld驱动)。如果t64.sys有数字签名,则使用系统API进行驱动加载;如果t64.sys没有数字签名,则使用自制的PE-LOADER进行驱动加载(好处是不需要关闭DSE,不会被映像回调拦截,坏处是某些情况下可能会加载失败)。
这个功能的应用价值在于,可以相对无风险地给驱动增加新功能。做过BOOT驱动开发的人都知道,有些时候尽管经过了测试部门的详细测试,但是当大面积部署到客户机的时候,还是引起了很多蓝屏并使得系统无法启动,导致损失了客户。如果把驱动做成loader+plugin的模式,那么常驻客户机的只有一个无实际功能、不怎么需要更新的loader驱动,plugin驱动则动态下发按需加载。即使plugin驱动有bug,那么顶多也就蓝屏一次,重启后不再加载它即可。至于怎么在内核里联网下载plugin驱动,可以参考这个帖子。
|
|
发表于 2022-3-31 07:03:43
发表于 2022-3-31 08:50:14
