V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
yicong135
V2EX  ›  问与答

win10 驱动签名已过期或者被吊销为什么还能加载

  •  
  •   yicong135 · 2019-03-27 20:46:20 +08:00 · 4193 次点击
    这是一个创建于 2066 天前的主题,其中的信息可能已经有所发展或是发生改变。
    安装软件遇到劫持,用 PCHunter 打开查到一个可疑驱动,安全模式删除后劫持解除.
    我打开驱动文件看了下驱动签名信息,发现是被吊销的;
    请问 win10 为什么还允许加载被吊销或者过期的签名驱动
    11 条回复    2019-03-28 02:03:03 +08:00
    nanaw
        1
    nanaw  
       2019-03-27 20:49:17 +08:00 via Android
    签名验证应该是可以被禁用的吧?
    我记得以前刷机的时候必须禁用这个才能装的上高通的驱动
    keyfunc
        2
    keyfunc  
       2019-03-27 20:51:35 +08:00   ❤️ 1
    签名是不能被吊销的,你看到的是证书被吊销了,但微软对代码签名的验证只要你签名的时候证书是有效的并且包含了时间戳,后面验签的时候就不会有问题,好像是这样的。
    yicong135
        3
    yicong135  
    OP
       2019-03-27 20:58:30 +08:00   ❤️ 1
    是证书被吊销
    windows 签名校验机制简直太坑,现在网上都可以找到过期证书,这认证机制简直和没有一样
    acess
        4
    acess  
       2019-03-27 21:06:29 +08:00
    我也觉得 DSE 是个很迷的机制。

    以前就有人吐槽过这个,说这个对付恶意软件完全是鸡肋,反倒误伤了一大片正当的个人 /开源软件:
    http://www.vbasm.com/blog-4158-34.html
    http://www.kernelmode.info/forum/viewtopic.php?t=3322

    Win10 1607 的时候,微软说收紧了 DSE,然后某软粉专栏说了这个事情:
    https://zhuanlan.zhihu.com/p/21876577
    他们拿老版本的 IDM 下载监视驱动做了实验,重现了“兼容性助手”提示“需要数字签名的驱动”的弹窗,但他们的解读不对——表面上弹窗了,实际上 idmwfp.sys 驱动还是加载了。

    然而,腾讯他们又确实有报道 Win 10 1607 收紧的 DSE 政策导致反外挂系统(需要跑到内核里和外挂对掐)异常:
    http://speed.qq.com/webplat/info/news_version3/147/534/552/553/m15538/201608/492518.shtml
    acess
        5
    acess  
       2019-03-27 21:13:35 +08:00
    redsonic
        6
    redsonic  
       2019-03-27 22:22:01 +08:00   ❤️ 1
    windows 只在安装驱动的时候检查证书,以后怎么样就不管了。
    acess
        7
    acess  
       2019-03-28 00:26:50 +08:00
    @redsonic 还是会检查的,必须得有签名才给加载,哪怕是吊销 /过期证书。
    redsonic
        8
    redsonic  
       2019-03-28 00:59:20 +08:00
    @acess 你说的是用户空间的应用程序吧,那个确实如此。此外至少 win10 1803 还是不检查内核驱动的签名,我有个 sony md 的驱动没有签名,三年前用过期证书签了一下,现在 1803 还能加载。
    acess
        9
    acess  
       2019-03-28 01:35:02 +08:00 via Android
    @redsonic 我说的是内核驱动啊。你说的那个未签名驱动不就是这样,需要用过期证书签名一下。我的意思是说虽然检查签名,但是没有严格检查吊销 /过期等情况,不管怎样,至少证书过期(且没有时间戳)是不需要联网就能检查出来的,但是微软貌似连这个检查都放松了。
    acess
        10
    acess  
       2019-03-28 01:38:17 +08:00 via Android
    @redsonic
    这个帖讨论的基本就是 DSE。你说用户空间,那我也歪个楼:
    天翼客户端后来也出了一个更新版,安装包还用原来那个证书签名,但是没有时间戳。那个证书过期后,文件属性里把数字签名点开,就不再显示“签名正常”了,UAC 弹窗也是黄色的。
    redsonic
        11
    redsonic  
       2019-03-28 02:03:03 +08:00
    @acess 嗯,之前误解了你的回复。 其实不光微软,以前的 chrome 浏览器也是不检查吊销状态,就算实际去查了 clr,ocsp 可结果不算数,只有改代码或修改企业部署配置的选项才能强制开启验证。不过我大概猜到了这个问题原因,可能 clr,ocsp 机制不靠谱,误判了要自己背锅。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3098 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 13:42 · PVG 21:42 · LAX 05:42 · JFK 08:42
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.