首页 > 其他分享 >驱动开发:内核测试模式过DSE签名

驱动开发:内核测试模式过DSE签名

时间:2022-10-30 11:00:10浏览次数:84  
标签:__ ULONG 内核 TABLE ENTRY DSE DATA 签名

微软在`x64`系统中推出了`DSE`保护机制,DSE全称`(Driver Signature Enforcement)`,该保护机制的核心就是任何驱动程序或者是第三方驱动如果想要在正常模式下被加载则必须要经过微软的认证,当驱动程序被加载到内存时会验证签名的正确性,如果签名不正常则系统会拒绝运行驱动,这种机制也被称为驱动强制签名,该机制的作用是保护系统免受恶意软件的破坏,是提高系统安全性的一种手段。

微软在​​x64​​​系统中推出了​​DSE​​​保护机制,DSE全称​​(Driver Signature Enforcement)​​,该保护机制的核心就是任何驱动程序或者是第三方驱动如果想要在正常模式下被加载则必须要经过微软的认证,当驱动程序被加载到内存时会验证签名的正确性,如果签名不正常则系统会拒绝运行驱动,这种机制也被称为驱动强制签名,该机制的作用是保护系统免受恶意软件的破坏,是提高系统安全性的一种手段。

该验证机制即便是在调试模式也需要强制签名,对于一名​​驱动开发者​​​来说是很麻烦的一件事情,而签名的验证则是在加载时验证驱动入口​​_KLDR_DATA_TABLE_ENTRY​​​里面的​​Flags​​​标志,如果此标志被​​pLdrData->Flags | 0x20​​置位,则在调试模式下就不会在验证签名了,省去了重复签名的麻烦。

代码的实现非常容易,如下所示:

// 署名权
// right to sign one's name on a piece of work
// PowerBy: LyShark
// Email: [email protected]

#include <ntifs.h>

// 绕过签名检查
BOOLEAN BypassCheckSign(PDRIVER_OBJECT pDriverObject)
{
#ifdef _WIN64
typedef struct _KLDR_DATA_TABLE_ENTRY
{
LIST_ENTRY listEntry;
ULONG64 __Undefined1;
ULONG64 __Undefined2;
ULONG64 __Undefined3;
ULONG64 NonPagedDebugInfo;
ULONG64 DllBase;
ULONG64 EntryPoint;
ULONG SizeOfImage;
UNICODE_STRING path;
UNICODE_STRING name;
ULONG Flags;
USHORT LoadCount;
USHORT __Undefined5;
ULONG64 __Undefined6;
ULONG CheckSum;
ULONG __padding1;
ULONG TimeDateStamp;
ULONG __padding2;
} KLDR_DATA_TABLE_ENTRY, *PKLDR_DATA_TABLE_ENTRY;
#else
typedef struct _KLDR_DATA_TABLE_ENTRY
{
LIST_ENTRY listEntry;
ULONG unknown1;
ULONG unknown2;
ULONG unknown3;
ULONG unknown4;
ULONG unknown5;
ULONG unknown6;
ULONG unknown7;
UNICODE_STRING path;
UNICODE_STRING name;
ULONG Flags;
} KLDR_DATA_TABLE_ENTRY, *PKLDR_DATA_TABLE_ENTRY;
#endif

PKLDR_DATA_TABLE_ENTRY pLdrData = (PKLDR_DATA_TABLE_ENTRY)pDriverObject->DriverSection;
pLdrData->Flags = pLdrData->Flags | 0x20;

return TRUE;
}

VOID UnDriver(PDRIVER_OBJECT driver)
{

}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)
{
NTSTATUS status;

// 绕过签名检查
// LINKER_FLAGS=/INTEGRITYCHECK
BypassCheckSign(Driver);

DbgPrint("[驱动已加载] hello lyshark.com \n");

Driver->DriverUnload = UnDriver;
return STATUS_SUCCESS;
}

将程序拖入到虚拟机,直接运行即可加载,无需再继续签名:

驱动开发:内核测试模式过DSE签名_ico

当然这种方式只能在测试模式下使用,在正常模式也是无效的,只是为了方便测试驱动。

文章作者:​lyshark​​ (王瑞)
版权声明:本博客文章与代码均为学习时整理的笔记,文章 [均为原创] 作品,转载请 [添加出处] ,您添加出处是我创作的动力!

转载文章请遵守​​《中华人民共和国著作权法》​​相关法律规定或遵守​《署名CC BY-ND 4.0国际》​规范,合理合规携带原创出处转载,如果不携带文章出处,并恶意转载多篇原创文章被本人发现,本人保留起诉权!


标签:__,ULONG,内核,TABLE,ENTRY,DSE,DATA,签名
From: https://blog.51cto.com/lyshark/5807438

相关文章

  • HarmonyOS系统中内核实现温湿度采集方法
      大家好,今天主要来聊一聊,如何使用鸿蒙系统中的温湿度传感器方法。   第一:温湿度传感器基本原理  大部分的传感器是在环境温度变化后会产生一个相应的延伸,因此传......
  • golang实现RSA2的签名与验签函数
    使用非对称加密算法,实现签名与验签packagetoolsimport("crypto""crypto/rand""crypto/rsa""crypto/sha256""crypto/x509""encoding/b......
  • 博客后台:博客签名
    博客签名    一、博客签名的功能 博客签名,展示作者信息和声明;博客签名,位于每篇文章的末尾。    二、图例 --博客签名的使用方法:  ......
  • 驱动开发:内核强制结束进程运行
    通常使用Windows系统自带的任务管理器可以正常地结束掉一般进程,而某些特殊的进程在应用层很难被结束掉,例如某些系统核心进程其权限是在0环内核态,但有时我们不得不想办法结......
  • 驱动开发:内核强制结束进程运行
    通常使用Windows系统自带的任务管理器可以正常地结束掉一般进程,而某些特殊的进程在应用层很难被结束掉,例如某些系统核心进程其权限是在0环内核态,但有时我们不得不想办法结束......
  • Linux内核设计与实现 第三版 电子书 pdf
    作者:[美]RobertLove出版社:机械工业出版社原作名:LinuxKernelDevelopment译者:陈莉君/康华 链接:Linux内核设计与实现第三版  本书详细描述了Linux内......
  • 奔跑吧Linux内核 电子书 pdf
    作者:张天飞出版社:人民邮电出版社链接:奔跑吧Linux内核  本书内容基于Linux4.x内核,主要选取了Linux内核中比较基本和常用的内存管理、进程管理、并发与同步,以及......
  • Linux内核完全注释 修正版 电子书 pdf
    作者:赵炯出版社:机械工业出版社 链接:Linux内核完全注释  Linux内核完全注释,ISBN:9787111149682,作者:赵炯编著......
  • 驱动开发:内核监控FileObject文件回调
    本篇文章与上一篇文章《驱动开发:内核注册并监控对象回调》所使用的方式是一样的都是使用ObRegisterCallbacks注册回调事件,只不过上一篇博文中LyShark将回调结构体OB_OPERATI......
  • 用户态和内核态
    那用户态和内核态又是啥呢?Linux系统的体系结构大家大学应该都接触过了,分为用户空间(应用程序的活动空间)和内核。我们所有的程序都在用户空间运行,进入用户运行状态也就是(用户......