自建时间戳服务实现伪签驱动证书(任意版本成功加载驱动)
程序相同目录下的hook.ini中可以设置 时间戳签名时间 和 程序获取的时间
时间戳签名时间就是签名选项卡中看到的时间,是需要根据证书有效期来确定的
而程序获取的时间,对程序功能无任何影响,只会影响证书管理界面的证书颜色和到期天数
注意!自定义的时间戳日期最好接近证书的颁发时间,因为大部分泄露的证书已经被CA吊销,自定义的时间必须在证书吊销之前才能通过驱动签名验证!
根据微软的最新签名策略 https://docs.microsoft.com/en-us/windows-hardware/drivers/install/kernel-mode-code-signing-policy--windows-vista-and-later-
任何有Microsoft Code Verification Root交叉签名,且颁发日期在2015-07-29以前的代码签名证书,配合伪造的时间戳签名,可以生成一个在任意Windows版本下都有效的驱动签名。
因此,采用泄露的证书,信任自建时间戳根证书,就可以在WinXP~Win10(SecureBoot Enabled)任意版本成功加载驱动。
我的自建根证书为VeriSign_Class_3_Code_Signing_2010_CA,我使用的所有自签名证书都由它颁发。
本程序使用的自建时间戳服务器的证书也不例外,因此想要时间戳受信,需要手动信任这个根证书
版权申明
本文系作者 @小李哥 原创发布在自建时间戳服务实现伪签驱动证书(任意版本成功加载驱动) - 果粒博客。未经许可,禁止转载。
全部评论
过客