无忧启动论坛

 找回密码
 注册
搜索
一次装机 终生领工资最纯净的「微PE装机优盘」UEPON大师作品卡瑞飞系统和装机二合一超级U盘
诚聘PE工具开发技术员QQ:1607112133系统gho:最纯净好用系统下载站广告联系 QQ:184822951 微信:wuyouceo
楼主: slore

[原创] 全版本drvinst.exe文件5分钟跳过驱动签名验证修改指南

    [复制链接]
 楼主| 发表于 2018-4-7 22:44:58 | 显示全部楼层
tools241 发表于 2018-4-7 20:16
我改用 8.1(RamOS)PE 启动, 又自 Firefox 移植了一些 APP\*.DLL 过来,
依楼主提供的程式, 已经可产生 17 ...

看到你经过实际操作了,给你说下x86的情况。

为什么你的位置会是4074FA?
你确定搜索到pSetupValidateDriverPackage
你的结果根本没有加载到微软的符号信息,都看不到函数名。。。
你确定你把drvinst.pdb剪切到windisam目录了么?

drvinst_x86.exe
  1.   0040D77A: FF 15 DC 11 42 00  call        dword ptr [__imp__pSetupValidateDriverPackage@44]
  2.   0040D780: 8B D8              mov         ebx,eax
  3.   0040D782: 85 DB              test        ebx,ebx
  4.   0040D784: 75 0A              jne         0040D790
  5.   0040D786: 8B 4D 10           mov         ecx,dword ptr [ebp+10h]
  6.   0040D789: 8B 07              mov         eax,dword ptr [edi]
  7.   0040D78B: 89 41 08           mov         dword ptr [ecx+8],eax
  8.   0040D78E: EB 2B              jmp         0040D7BB
  9.   0040D790: 53                 push        ebx
复制代码


8B D8 85 DB 75 08 6A 08
(本人的推测, 尚待验证)改成:
33 DB 8B D8 90 90 6A 08


为什么33 DB?

.text:0040D77A                 call    ds:__imp__pSetupValidateDriverPackage@44 ; pSetupValidateDriverPackage(x,x,x,x,x,x,x,x,x,x,x)
.text:0040D780                 xor     ebx, ebx       <= ebx异或清0
.text:0040D782                 mov     ebx, eax     <= 把SetupValidateDriverPackage函数的返回值eax又赋值给ebx,清0有何意义?还是返回(签名失败1,可能上层没有判断这个值,所以有90 90就可以吧)

ebx = 0
ebx = eax       => ebx = 1


和x64一样,
xor eax,eax
mov ebx,eax

前2个字节还是33 C0。


点评

这只是猜测, 没找到字串, 位置我没有把握.  详情 回复 发表于 2018-4-7 22:49

评分

参与人数 1无忧币 +5 收起 理由
zmac2007 + 5

查看全部评分

回复

使用道具 举报

发表于 2018-4-7 22:49:55 | 显示全部楼层
本帖最后由 tools241 于 2018-11-6 11:29 编辑

17666x64
  请参考楼主本文, 用Uedit32.exe找
8B F8 85 C0 75 09 41 8B
  改成:
33 C0 8B F8 90 90 41 8B

________________________________
17666x86

  请参考楼主在 #21F 的回复, 用Uedit32.exe找
8B D8 85 DB 75 0a 8B 4D
  改成:
33 C0 8B D8 90 90 8B 4D


_________________________________________

一.10PE适用的drvinst.exe
drv(17134,16299,15063,10240,8PE).7z   (245KB)
链接: https://pan.baidu.com/s/13yE2xNPYQftJsOPMLlt8Rw 提取码: 2k4d
注: 本人只是 "代工", 已在 说明.TXT 注明所参考的文章出处, 内含 8PEx64, 8PEx86 及

仅供参考: 初步测试 drvinst.exe 的推论:
10240x64 可使用在10PEx64 16299版至10240版.
10240x86 可使用在10PEx86 16299版至10240版.
17666x64 可使用在10PEx64 16299版至15063版.
17666x86 可使用在10PEx86 16299版至15063版.
17134版起最好采用同版本的drvinst.exe



二.有兴趣者可自行取得原始EXE档, 利用 Uedit32.exe 加以修改:
UltraEdit.7z (9M) -- 此为旧版, 若取得新版须注册否则有使用期限
https://pan.baidu.com/s/1HruhG4wwV5thTt7yg2ki8A


三.如何由 *.EXE 产生 *.asm
1.先下载楼主在本文中提供的 windisam.z01.zip 及 windisam.zip
   windisam.z01.zip改名windisam.z01再解压windisam.zip
2.太过精简的10PE( 或因网路DNS的问题 )可能无法正常执行 windisam 之下的 *.bat ( 可能偶而会成功, 但多数是失败 ),
   可改用 "正常系统" 或 8.1(RamOS)PE 或 8.1PE.
   本人是采用(sun00721大大的) 8.1(RamOS)PE 启动后再来执行 windisam 之下的 *.bat ,
   若采用 WinPE生成器生成的 8.1PE 亦可.

3.windisam\dumpbin_x86 之下针对 8.1(RamOS)PE/8.1PE 补17个DLL档, 可由本人特制的 Firefox56 免安装版的 APP\Firefox\*.DLL 复制过来:
   [ Firefox56(免安装异空版,不支援XP,可用新旧套件不可用外挂,32位元含26元件,简繁英通用).rar  (73M)
     ==> https://www.firefox.net.cn/read-52082   ]

4.依楼主提供的操作方法, 可产生 17134  x86 的 drvinst.asm

点评

t大,麻烦破解一下win8x64的drvinst.exe  详情 回复 发表于 2018-4-8 08:11

评分

参与人数 2无忧币 +10 收起 理由
zmac2007 + 5
2012zhd + 5 很给力!

查看全部评分

回复

使用道具 举报

发表于 2018-4-8 08:07:12 | 显示全部楼层
好久不见的技术贴
回复

使用道具 举报

发表于 2018-4-8 08:11:19 | 显示全部楼层
tools241 发表于 2018-4-7 22:49
17133x64
  请参考楼主本文, 用Uedit32.exe找
8B F8 85 C0 75 09 41 8B

t大,麻烦破解一下win8x64的drvinst.exe
drvinst.7z (40.03 KB, 下载次数: 3)

点评

为什么不尝试自己做?下载你附件到改好就1,2分钟  发表于 2018-4-8 08:21
在 WinPE生成器2.0 有 bin\DRVINST\w864 bin\DRVINST\w886 bin\DRVINST\w8164 bin\DRVINST\w8186 bin\DRVINST\w1064 bin\DRVINST\w1086 其中 w1064 适用在 16299版至15063版, 不适用在17046起的版本, 我忘  详情 回复 发表于 2018-4-8 08:19
回复

使用道具 举报

发表于 2018-4-8 08:19:22 | 显示全部楼层
本帖最后由 tools241 于 2018-4-8 08:46 编辑
2012zhd 发表于 2018-4-8 08:11
t大,麻烦破解一下win8x64的drvinst.exe

我只是代工而已, 其他版本可找现成的:
在立邦电子大的 WinPE生成器2.0
bin\DRVINST\w864
bin\DRVINST\w886
bin\DRVINST\w8164
bin\DRVINST\w8186

bin\DRVINST\w1064
bin\DRVINST\w1086

WinPE生成器2.0中的 w1064 适用在 x64 的 16299版至更早的版本, 不适用在17046起的版本.( 我忘了是否适用在17025,17035版? )
未来 WinPE生成器2.1 版必然会再更新 w1064 及 w1086, 以便适用在17046起的版本.

点评

感谢,我去下载提取。  详情 回复 发表于 2018-4-8 08:35
回复

使用道具 举报

发表于 2018-4-8 08:35:42 | 显示全部楼层
tools241 发表于 2018-4-8 08:19
可找现成的:
在立邦电子大的 WinPE生成器2.0 有
bin\DRVINST\w864

感谢,我去下载提取。
回复

使用道具 举报

 楼主| 发表于 2018-4-8 08:51:22 | 显示全部楼层
不知道是不是我语文不好,上传一个。

1分钟半破解GIF演示

再不行那就是下载符号库和,dumpbin.exe程序有问题,
自己到安装Visual Studio自行提取。
回复

使用道具 举报

发表于 2018-4-8 09:40:25 | 显示全部楼层
为啥explorer.exe 不能这样反汇编呢,楼主能帮忙看看么
=====================================
Microsoft (R) COFF/PE Dumper Version 14.00.23918.0
Copyright (C) Microsoft Corporation.  All rights reserved.

找到 PDB 文件(在“E:\windisam\explorer.pdb”中)

LINK : fatal error LNK1000: Internal error during DumpSections

  Version 14.00.23918.0

  ExceptionCode            = C0000005
  ExceptionFlags           = 00000000
  ExceptionAddress         = 014190DA (01380000) "E:\windisam\dumpbin_x86\link.exe"
  NumberParameters         = 00000002
  ExceptionInformation[ 0] = 00000000
  ExceptionInformation[ 1] = 00000000

CONTEXT:
  Eax    = 00000000  Esp    = 00CFDE04
  Ebx    = 00000000  Ebp    = 00CFDEE8
  Ecx    = 00000000  Esi    = 00CF0001
  Edx    = 00000001  Edi    = 00CFF034
  Eip    = 014190DA  EFlags = 00010202
  SegCs  = 00000023  SegDs  = 0000002B
  SegSs  = 0000002B  SegEs  = 0000002B
  SegFs  = 00000053  SegGs  = 0000002B
  Dr0    = 00000000  Dr3    = 00000000
  Dr1    = 00000000  Dr6    = 00000000
  Dr2    = 00000000  Dr7    = 00000000
请按任意键继续. . .

点评

不错,会变通。符库已经下好了,内部错误,估计explorer的结果比较大,x86的dumpbin处理不了,换64位dumpbin.exe试试。这个是文本,你可以其他反编译工具查看,可以加载到pdb就行。od,ida等等。  详情 回复 发表于 2018-4-8 10:10
回复

使用道具 举报

 楼主| 发表于 2018-4-8 10:10:05 | 显示全部楼层
addaadda 发表于 2018-4-8 09:40
为啥explorer.exe 不能这样反汇编呢,楼主能帮忙看看么
=====================================
Microsof ...

不错,会变通。符库已经下好了,内部错误,估计explorer的结果比较大,x86的dumpbin处理不了,换64位dumpbin.exe试试。这个是文本,你可以其他反编译工具查看,可以加载到pdb就行。od,ida等等。

点评

请问一下,mbr或者pbr使用winhex保存的bin如何转换成汇编代码。 想看看bootice是查看哪里的特征区分mbr类型的  详情 回复 发表于 2018-4-8 11:05
我看了win10x64的explorer可以反汇编(35MB),win8.1x64的就不行,不知道哪里的问题,系统是win10x64  详情 回复 发表于 2018-4-8 10:26

评分

参与人数 1无忧币 +5 收起 理由
zmac2007 + 5

查看全部评分

回复

使用道具 举报

发表于 2018-4-8 10:26:33 | 显示全部楼层
本帖最后由 addaadda 于 2018-4-8 10:29 编辑
slore 发表于 2018-4-8 10:10
不错,会变通。符库已经下好了,内部错误,估计explorer的结果比较大,x86的dumpbin处理不了,换64位dump ...


我看了win10x64的explorer可以反汇编(35MB),win8.1x64的就不行,不知道哪里的问题,系统是win10x64

上传不可以反编译的附件 explorer.7z (976.9 KB, 下载次数: 1)

点评

我不知道x86为什么不行,不过x64可以,我试着复制出来x64的最小文件,你可以试试, 如果不行的话,建议你安装Visual Studio自己找x64的dumpbin.exe  详情 回复 发表于 2018-4-8 18:08
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|捐助支持本站|无忧启动 ( 闽ICP备05002490号-1 )

闽公网安备 35020302032614号

GMT+8, 2019-3-27 02:29

Powered by Discuz! X3.3

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表