论坛广场 › 谈天说地 › 忽然发现WIN64上这么多驱动都是没有签名的！它们是怎么加载的呢？

Tesla.Angela 发表于 2011-8-19 23:27:15

忽然发现WIN64上这么多驱动都是没有签名的！它们是怎么加载的呢？

Win64 Advanced System Tool - Kernel module viewer
=================================================

1.Show all items
2.Show items without signature
0.Go back

Input your selection: 2

ID      Base Address            Full Path
--      ------------            ---------
0048    0xfffff88001960000      C:\Windows\system32\DRIVERS\cdrom.sys
0050    0xfffff88001996000      C:\Windows\System32\Drivers\Null.SYS
0051    0xfffff8800199f000      C:\Windows\System32\Drivers\Beep.SYS
0052    0xfffff880019a6000      C:\Windows\System32\drivers\vga.sys
0053    0xfffff880019b4000      C:\Windows\System32\drivers\VIDEOPRT.SYS
0054    0xfffff880019d9000      C:\Windows\System32\drivers\watchdog.sys
0055    0xfffff880019e9000      C:\Windows\System32\DRIVERS\RDPCDD.sys
0056    0xfffff880019f2000      C:\Windows\system32\drivers\rdpencdd.sys
0057    0xfffff88001800000      C:\Windows\system32\drivers\rdprefmp.sys
0058    0xfffff88001809000      C:\Windows\System32\Drivers\Msfs.SYS
0059    0xfffff88001814000      C:\Windows\System32\Drivers\Npfs.SYS
0060    0xfffff88001825000      C:\Windows\system32\DRIVERS\tdx.sys
0061    0xfffff88001843000      C:\Windows\system32\DRIVERS\TDI.SYS
0062    0xfffff88004229000      C:\Windows\system32\drivers\afd.sys
0063    0xfffff880042b3000      C:\Windows\System32\DRIVERS\netbt.sys
0064    0xfffff880042f8000      C:\Windows\system32\DRIVERS\wfplwf.sys
0065    0xfffff88004301000      C:\Windows\system32\DRIVERS\pacer.sys
0066    0xfffff88004327000      C:\Windows\system32\DRIVERS\netbios.sys
0067    0xfffff88004336000      C:\Windows\system32\DRIVERS\wanarp.sys
0072    0xfffff88001850000      C:\Windows\system32\DRIVERS\rdbss.sys
0074    0xfffff880043db000      C:\Windows\system32\drivers\nsiproxy.sys
0076    0xfffff88004200000      C:\Windows\System32\drivers\discache.sys
0077    0xfffff88005014000      C:\Windows\system32\drivers\csc.sys
0078    0xfffff88005097000      C:\Windows\System32\Drivers\dfsc.sys
0079    0xfffff880050b5000      C:\Windows\system32\DRIVERS\blbdrive.sys
0080    0xfffff880050c6000      C:\Windows\system32\DRIVERS\tunnel.sys
0081    0xfffff880050ec000      C:\Windows\system32\DRIVERS\intelppm.sys
0084    0xfffff88005102000      C:\Windows\System32\drivers\dxgkrnl.sys
0085    0xfffff880052e4000      C:\Windows\System32\drivers\dxgmms1.sys
0086    0xfffff8800532a000      C:\Windows\system32\DRIVERS\usbuhci.sys
0087    0xfffff88005337000      C:\Windows\system32\DRIVERS\USBPORT.SYS
0088    0xfffff8800538d000      C:\Windows\system32\DRIVERS\usbehci.sys
0089    0xfffff8800539e000      C:\Windows\system32\DRIVERS\HDAudBus.sys
0090    0xfffff88005444000      C:\Windows\system32\DRIVERS\netw5v64.sys
0091    0xfffff8800597f000      C:\Windows\system32\DRIVERS\Rt64win7.sys
0092    0xfffff880059b1000      C:\Windows\system32\DRIVERS\1394ohci.sys
0093    0xfffff88005400000      C:\Windows\system32\DRIVERS\sdbus.sys
0094    0xfffff88005420000      C:\Windows\system32\DRIVERS\i8042prt.sys
0097    0xfffff880059fe000      C:\Windows\system32\DRIVERS\USBD.SYS
0099    0xfffff8800543e000      C:\Windows\system32\DRIVERS\CmBatt.sys
0101    0xfffff88005263000      C:\Windows\system32\DRIVERS\COMPOS~1.SYS
0102    0xfffff88005273000      C:\Windows\system32\DRIVERS\AgileVpn.sys
0103    0xfffff88005289000      C:\Windows\system32\DRIVERS\rasl2tp.sys
0104    0xfffff880052ad000      C:\Windows\system32\DRIVERS\ndistapi.sys
0105    0xfffff880053c2000      C:\Windows\system32\DRIVERS\ndiswan.sys
0106    0xfffff880052b9000      C:\Windows\system32\DRIVERS\raspppoe.sys
0107    0xfffff880069df000      C:\Windows\system32\DRIVERS\raspptp.sys
0108    0xfffff8800420f000      C:\Windows\system32\DRIVERS\rassstp.sys
0110    0xfffff88006c4c000      C:\Windows\system32\DRIVERS\rdpbus.sys
0113    0xfffff88006c87000      C:\Windows\system32\DRIVERS\ks.sys
0114    0xfffff88006cca000      C:\Windows\system32\DRIVERS\umbus.sys
0115    0xfffff88006cdc000      C:\Windows\system32\DRIVERS\usbhub.sys
0116    0xfffff88006d36000      C:\Windows\System32\Drivers\NDProxy.SYS
0117    0xfffff88006d4b000      C:\Windows\system32\drivers\HdAudio.sys
0118    0xfffff88006da7000      C:\Windows\system32\drivers\portcls.sys
0119    0xfffff88006c00000      C:\Windows\system32\drivers\drmk.sys
0120    0xfffff88006de4000      C:\Windows\system32\drivers\ksthunk.sys
0121    0xfffff960000c0000      C:\Windows\System32\win32k.sys
0122    0xfffff88006dea000      C:\Windows\System32\drivers\Dxapi.sys
0124    0xfffff880053f1000      C:\Windows\System32\Drivers\dump_dumpata.sys
0125    0xfffff88006df6000      C:\Windows\System32\Drivers\dump_atapi.sys
0126    0xfffff88005000000      C:\Windows\System32\Drivers\dump_dumpfve.sys
0127    0xfffff8800192a000      C:\Windows\system32\DRIVERS\usbccgp.sys
0128    0xfffff88000ddb000      C:\Windows\system32\DRIVERS\ZTETDM~1.SYS
0129    0xfffff88001947000      C:\Windows\system32\drivers\modem.sys
0130    0xfffff88003e0f000      C:\Windows\system32\DRIVERS\ZTETDD~1.SYS
0131    0xfffff88003e34000      C:\Windows\system32\DRIVERS\ZTETDN~1.SYS
0132    0xfffff88003e59000      C:\Windows\system32\DRIVERS\ZTETDMMS.sys
0133    0xfffff88003e7e000      C:\Windows\system32\DRIVERS\USBSTOR.SYS
0134    0xfffff88003e99000      C:\Windows\system32\DRIVERS\monitor.sys
0135    0xfffff88003ea7000      C:\Windows\System32\Drivers\BTHUSB.sys
0136    0xfffff88003ebf000      C:\Windows\System32\Drivers\bthport.sys
0137    0xfffff88003f4b000      C:\Windows\system32\DRIVERS\hidusb.sys
0138    0xfffff88003f59000      C:\Windows\system32\DRIVERS\HIDCLASS.SYS
0139    0xfffff88003f72000      C:\Windows\system32\DRIVERS\HIDPARSE.SYS
0140    0xfffff88003f7b000      C:\Windows\System32\Drivers\usbvideo.sys
0141    0xfffff88003fa9000      C:\Windows\system32\DRIVERS\kbdhid.sys
0142    0xfffff88003fb7000      C:\Windows\system32\DRIVERS\mouhid.sys
0143    0xfffff960004e0000      C:\Windows\System32\TSDDD.dll
0144    0xfffff88003fc4000      C:\Windows\system32\DRIVERS\rfcomm.sys
0145    0xfffff88003ff0000      C:\Windows\system32\DRIVERS\BthEnum.sys
0146    0xfffff880013df000      C:\Windows\system32\DRIVERS\bthpan.sys
0147    0xfffff88000e79000      C:\Windows\system32\DRIVERS\bthmodem.sys
0148    0xfffff88007806000      C:\Windows\system32\DRIVERS\hidbth.sys
0149    0xfffff96000650000      C:\Windows\System32\cdd.dll
0150    0xfffff88007824000      C:\Windows\system32\drivers\luafv.sys
0151    0xfffff88007847000      C:\Windows\system32\DRIVERS\lltdio.sys
0152    0xfffff8800785c000      C:\Windows\system32\DRIVERS\nwifi.sys
0153    0xfffff880078af000      C:\Windows\system32\DRIVERS\ndisuio.sys
0154    0xfffff880078c2000      C:\Windows\system32\DRIVERS\rspndr.sys
0156    0xfffff880078ed000      C:\Windows\system32\drivers\HTTP.sys
0157    0xfffff880079b5000      C:\Windows\system32\DRIVERS\bowser.sys
0158    0xfffff880079d3000      C:\Windows\System32\drivers\mpsdrv.sys
0159    0xfffff880094c5000      C:\Windows\system32\DRIVERS\mrxsmb.sys
0160    0xfffff880094f1000      C:\Windows\system32\DRIVERS\mrxsmb10.sys
0161    0xfffff8800953e000      C:\Windows\system32\DRIVERS\mrxsmb20.sys
0162    0xfffff88009561000      C:\Windows\System32\Drivers\secdrv.SYS
0163    0xfffff8800956c000      C:\Windows\System32\DRIVERS\srvnet.sys
0164    0xfffff88009599000      C:\Windows\System32\drivers\tcpipreg.sys
0165    0xfffff88009400000      C:\Windows\System32\DRIVERS\srv2.sys
0166    0xfffff8800aeda000      C:\Windows\System32\DRIVERS\srv.sys
0167    0xfffff8800af72000      C:\Windows\system32\DRIVERS\cdfs.sys
0169    0xfffff8800ae71000      C:\Windows\system32\DRIVERS\asyncmac.sys
又看到了beep.sys，能做什么大家知道了吧。。。

oopww 发表于 2011-8-20 15:45:47

:loveliness: 我来广州了！~~~~

马大哈 发表于 2011-8-21 01:29:43

oopww 发表于 2011-8-20 15:45 static/image/common/back.gif
我来广州了！~~~~

{:1_95:}欢迎

zuoyefeng1 发表于 2011-8-22 15:10:39

话说x64不是限制了没有签名的驱动加载了的么？难道还另外有个白名单？

Tesla.Angela 发表于 2011-8-22 16:04:21

zuoyefeng1 发表于 2011-8-22 15:10 static/image/common/back.gif
话说x64不是限制了没有签名的驱动加载了的么？难道还另外有个白名单？

所以我才感觉奇怪。。。
我一开始以为是我的软件判断错误，后来对着列表中的文件按“属性”，发现真的没有数字签名的。。。

sWZ 发表于 2012-1-10 08:37:37

还是老路子，没啥创新的东西呀，在全hips下这些东西都木有用
倒是可以尝试一下新的技术。64位下扩展了许多32位下没有的驱动信息--
其实是。因为许多设备厂商没有提供64位驱动造成的空档，64位下许多第三方驱动也写的很烂
说来说去又到0day上了。三位一体的保护现在还没有。即使保护了
也可以利用现在一些新的接口来进行封锁突破-比如SSD盘的一些接口操作

x64asm 发表于 2012-1-12 16:33:50

Tesla.Angela 发表于 2011-8-22 16:04 static/image/common/back.gif
所以我才感觉奇怪。。。
我一开始以为是我的软件判断错误，后来对着列表中的文件按“属性”，发现真的没 ...

人家是另外有CAT编录文件。而非直接在SYS里。
都是有数字签名的，代码完整性检验是检验CAT编录的。
唉/。

Tesla.Angela 发表于 2012-1-14 22:15:51

x64asm 发表于 2012-1-12 16:33 static/image/common/back.gif
人家是另外有CAT编录文件。而非直接在SYS里。
都是有数字签名的，代码完整性检验是检验CAT编录的。
唉/。 ...

明白了

billypon 发表于 2012-1-17 09:30:51

我64位系统要用openvpn，有没办法？
官方的openvpn驱动是没有数字签名的

Tesla.Angela 发表于 2012-1-17 12:58:06

billypon 发表于 2012-1-17 09:30 static/image/common/back.gif
我64位系统要用openvpn，有没办法？
官方的openvpn驱动是没有数字签名的

见此贴：http://www.vbasm.com/forum.php?mod=viewthread&tid=5893

billypon 发表于 2012-1-17 15:00:49

win7的启动项中其实是可以临时禁止签名的，难道你这个就是永久禁止？
不禁止的方法有没？
真悲剧，openvpn官方怎么不加数字签名呢

heyun234 发表于 2012-1-17 19:42:56

你不说 · ·我是不知道。。。。。

ithurricane 发表于 2012-1-20 23:09:56

KMSRussian 发表于 2012-2-20 19:49:36

我也学习了

watchsky 发表于 2012-2-20 23:05:27

x64asm 发表于 2012-1-12 16:33 static/image/common/back.gif
人家是另外有CAT编录文件。而非直接在SYS里。
都是有数字签名的，代码完整性检验是检验CAT编录的。
唉/。 ...

学习了

LittlePig 发表于 2012-2-21 19:35:38

billypon 发表于 2012-1-17 15:00 static/image/common/back.gif
win7的启动项中其实是可以临时禁止签名的，难道你这个就是永久禁止？
不禁止的方法有没？
真悲剧，openvpn ...

那个貌似要花钱……

KMSRussian 发表于 2012-2-21 22:43:17

楼上的头像不错

LittlePig 发表于 2012-2-25 10:17:50

KMSRussian 发表于 2012-2-21 22:43 static/image/common/back.gif
楼上的头像不错

…………

poilkj 发表于 2012-3-4 15:07:55

学习了

qwert502 发表于 2012-3-16 09:46:00

我也学习了

gl542400 发表于 2012-5-18 22:38:05

学习！原来是一个美丽的错觉！

wjshome 发表于 2012-6-18 21:43:33

学习。

wangmin1944 发表于 2014-1-15 10:14:32

Thomas717 发表于 2016-3-3 18:20:54

用的是CAT安全编录，记得Win7 x64 SP1下，M$丧心病狂地连write.exe都加进了安全编录...

Thomas717 发表于 2016-3-3 18:25:16

Thomas717 发表于 2016-3-3 18:20
用的是CAT安全编录，记得Win7 x64 SP1下，M$丧心病狂地连write.exe都加进了安全编录... ...

呃呃...没看评论就回复了...已经有人回答了

查看完整版本: 忽然发现WIN64上这么多驱动都是没有签名的！它们是怎么加载的呢？