无忧启动论坛

 找回密码
 注册
搜索
系统gho:最纯净好用系统下载站广告联系 微信:wuyouceo QQ:184822951
查看: 3279|回复: 14

[求助] 没有数字签名。哪位大神帮帮忙。谢谢!

[复制链接]
发表于 2019-5-18 20:24:02 | 显示全部楼层 |阅读模式
本帖最后由 wanghh 于 2019-5-18 20:25 编辑

制作内存系统。没有数字签名进不了系统。没有数字签名。哪位大神帮帮忙。谢谢!
2019-05-18_202244.png

wimfsf没有数字签名.zip (33.4 KB, 下载次数: 49)
 楼主| 发表于 2019-5-18 20:25:00 | 显示全部楼层
制作内存系统。没有数字签名进不了系统。
回复

使用道具 举报

发表于 2019-5-18 20:54:46 | 显示全部楼层
已经帮你签名了
wimfsf驱动带数字签名.zip (39.94 KB, 下载次数: 35)

点评

麻烦您再帮这个文件也做一个。谢谢!  详情 回复 发表于 2019-5-18 21:59
谢谢!  详情 回复 发表于 2019-5-18 21:04
谢谢!  详情 回复 发表于 2019-5-18 21:01

评分

参与人数 1无忧币 +5 收起 理由
wanghh + 5 麻烦您再帮这个文件也做一个。谢谢!

查看全部评分

回复

使用道具 举报

 楼主| 发表于 2019-5-18 21:01:35 | 显示全部楼层

谢谢!
回复

使用道具 举报

 楼主| 发表于 2019-5-18 21:04:00 | 显示全部楼层

谢谢!
回复

使用道具 举报

 楼主| 发表于 2019-5-18 21:59:29 | 显示全部楼层

麻烦您再帮这个文件也做一个。谢谢!


ntoskrnl没有数字签名.zip (2.72 MB, 下载次数: 13)

点评

NT内核文件本来就是有数字签名的,这个文件应该是被你修改过了吧  详情 回复 发表于 2019-5-18 22:13
回复

使用道具 举报

发表于 2019-5-18 22:13:47 | 显示全部楼层
wanghh 发表于 2019-5-18 21:59
麻烦您再帮这个文件也做一个。谢谢!


这个文件本来就是有数字签名的,签名失效的话应该是被你修改过了吧
ntoskrnl带数字签名.zip (2.7 MB, 下载次数: 12)

点评

谢谢!  详情 回复 发表于 2019-5-18 22:18

评分

参与人数 1无忧币 +5 收起 理由
wanghh + 5 谢谢大神!

查看全部评分

回复

使用道具 举报

 楼主| 发表于 2019-5-18 22:18:14 | 显示全部楼层
朱玛12345678 发表于 2019-5-18 22:13
这个文件本来就是有数字签名的,签名失效的话应该是被你修改过了吧

谢谢!
回复

使用道具 举报

 楼主| 发表于 2019-5-18 22:29:35 | 显示全部楼层
本帖最后由 wanghh 于 2019-5-18 22:31 编辑

制作WIM格式的内存系统需修改 ntoskrnl文件。
制作的是WIN764位旗舰版,不过用了大神签名的文件。系统竞然还是说没有签名。晕。
2019-05-18_223107.png
回复

使用道具 举报

发表于 2019-5-19 08:43:06 | 显示全部楼层
回复

使用道具 举报

发表于 2019-5-19 17:39:55 | 显示全部楼层

大大这个是怎么做到的,这样就可以直接dism注入吗
回复

使用道具 举报

发表于 2019-5-19 17:40:30 | 显示全部楼层

大大这个是怎么做到的,这样就可以直接dism注入吗
回复

使用道具 举报

发表于 2019-5-20 10:58:21 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复

使用道具 举报

 楼主| 发表于 2019-5-20 15:16:54 | 显示全部楼层
转贴


解决方案:自己伪造签名。

过程:

1,打开系统的testsigning模式,使得非权威CA发放的签名可以使用
bcdedit /set testsigning on

2,做一个签名证书出来。

MakeCert –r –pe –ss PrivateCertStore –n CN=dawnh.net(test) dawnh.cer

3,把证书加进本机信任根CA中去。

CertMgr -add dawnh.cer -s -r localMachine root

4,给驱动签名。

Signtool sign /v /s PrivateCertStore /n dawnh.net(test) /t http://timestamp.verisign.com/scripts/timestamp.dll dsdrv4.sys

说明:

1,dsdrv4.sys就是所要签名的驱动文件名称了,Dscaler默认安装的是32位的,64位的要单独下载。

2,MakeCert.exe,CertMgr.exe和Singtool.exe在基本系统中不附带,不过Plateform SDK,.netFramework SDK,Visual Studio里面都有,拣自己方便弄得安一个就是。

3,命令中dawnh.net,dawnh都可以替换成你自己喜欢的,不过反正是fake的,你自己爱写什么写什么,如果要签其他驱动把dsdrv4.sys换成你要的文件名就是了。

4,要reboot。

5,testsigning打开后据说会影响到DRM,会使有DRM的玩意儿失效,不过我等贫民还没看见什么东西用DRM。

6,喜欢学习的好同学想知道原理自己去啃文档:

http://msdn2.microsoft.com/en-us/library/aa906247.aspx

感想:

1,打上testsigning开关后重起系统屏幕四个角会出来Test mode,上面中间会出来版本号和build。看起来很酷,不过还好不是Safe Mode XD

2,如果我自己能这么做绕过MS的签名机制,病毒不是也能嘛。那强制签名和安驱动时跳个可以被屏蔽掉的警告框也没什么区别了嘛!噢,对了,所以才给你打个Test mode的标,别怪我没提醒 :D

3,有没有给病毒或木马发证书的CA?
回复

使用道具 举报

 楼主| 发表于 2019-5-20 15:27:32 | 显示全部楼层
微软对于自Vista开始的64位OS有新的数字签名策略,即所有内核驱动都必须是经过可信机构签发过数字证书的,否则系统拒绝加载。此策略的目的是加强系统安全防护,使得一干惯于偷偷摸摸、底细不清的内核模块无法在系统中容身。但它却也给正经的内核开发人员带去一个麻烦:开发过程中会不断生成新的驱动镜像文件,开发者不可能将每一个内部版本都拿去申请数字签名,不仅太麻烦,而且会大大延长开发周期。

微软当然也考虑到了这一点,它提供了一个可以禁止签名检验的开机启动项。要运用此启动项,用户必须在启动电脑时,及时在键盘上按下F8键,在出来的启动菜单中选择倒数第二个启动项:Disable Driver Signature Enforcement.

这看上去很省心,但你如果再了解得深入一点,就会发现它其实很麻烦。

首先开机启动项只能手动选择,系统再次重启的时候,它会忘记上一次所选择的启动项,用户如果不再次及时按下F8按钮的话,就会错过机会,只能谋求下一次重启时的机会。如果开发者需要不断地进行重启测试的话,就必须有一个专人站在边上,作用就是及时地按下F8并在出现的启动菜单中选择倒数第二项。这是很无聊并痛苦的事情,所以大多数开发者不愿采用这种方法。

其次就是在Win8系统上,用户在系统开机时已没有通过F8调出启动菜单的机会。这一点虽然可以避免,但过程却也复杂,这里不展开介绍。

看到一扇关闭的窗户,不必急着沮丧,因为或许旁边正有一扇为你敞开的大门。微软还提供了一项称为Test Sign的技术,却正可以较好解决内核开发者的这项困扰。只不过它的实现方法比较复杂,虽然微软提供了详细的文档,但不到万不得已,开发者一般不会去详细研究其内容。从步骤上来讲,这个技术的实现分两个步骤实现:

首先,启动Test Signing启动项属性。实现的一个简单方法是在控制台中运行如下命令:

Bcdedit /set testsigning true

此命令的意思是为当前系统启动项打开名为“TestSigning”的属性。如果再运行下面的命令,就能看到这个属性被列出:

Bcdedit /enum {current}



这个属性会在下次系统重启时生效。系统会一直记住这个属性,重启系统后也依然有效。

第二是用一个测试证书对你的内核镜像文件(一般即.sys文件)进行签名。用户对此可能有点困惑,稍微介绍一下。原来如果认证机构为内核驱动签名的时候,会颁发一个受信证书,这个证书最终会安装到用户系统中,而对镜像文件所进行的签名操作,就是把证书信息写到文件中。系统通过验证这个证书来确认其受信与否。获取这个证书首先需要银子,其次也需要时间。但如果我能够给自己颁发一个临时证书,又怎样呢?那当然又省心又快捷了。微软提供了这样的策略:在Test Signing模式下,测试证书能和其它商业证书一样工作无差。

那么这第二个步骤其实又能细分为两个小步骤:1. 创建测试证书;2.用测试证书为驱动签名。微软提供了相关工具,包含在最新的SDK或DDK中。简单来讲,用户应该使用makecert.exe创建证书,再用signtool.exe进行镜像文件签名。微软所提供的工具不止这两个,但这两个确实是最重要的。遗憾的是这些工具都只能运行在控制台中,用户界面不算友好,参数也很晦涩。这大概是为什么大多数内核开发者都不太使用这些工具的原因?

工具使用方法,请参考微软相关文档。

使用64Signer

好了,现在一个崭新的新星出现了。64Signer能帮助你一步到位。它不仅界面清晰明了,并且功能完整智能。开发者只要简单地进行一次拖拽,点最多两个按钮,就可以完成系统设置和文件签名的一系列工作。深渊隐藏在坚实的桥面下,用户只需开车通过,而无需流连惊骇。



工具的操作方法其实已简单明了地列在界面上(红色字体部分),但我还是愿意详细解释一下使用过程:

运行工具后它能够正确显示当前系统的Test Signing设置。如果此属性已被打开,则“Enable Test Signing Option”是自动钩住的;否则用户需点击一下(第一个点击)。
然后用户应将驱动文件拖拽到用户界面中来,或者手动输入路径,或者点击Open按钮从而通过文件对话框来选择,都可以(一次拖拽)。
最后点击Sign按钮(二次点击)。如果签名成功,用户能看到下面的成功提示(如果有看到失败的情况,请发邮件告诉我):


在关闭工具的时候,工具如果检测到你改变了Test Signing启动属性,会有下面的系统重启提示:



就这么简单,我总结为:一拖两点。

这个工具的贴心之处还没有完全展现出来,如果你看到曾经操作过的历史文件已被整理妥当,以动态列表的形式显示,而你只要点击一下就能展开并选择,贵用户的心情会不会更开心?如下图所示:



补充

在有些启用了Secure Boot的机器上,不能打开TestSigning启动选项。这种情况下,64Signer就不能使用了。下面是一个例子:

C:\windows\system32>bcdedit /set {current} testsigning on
An error has occurred setting the element data.
The value is protected by Secure Boot policy and cannot be modified or deleted.
---------------------
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|捐助支持|无忧启动 ( 闽ICP备05002490号-1 )

闽公网安备 35020302032614号

GMT+8, 2024-3-29 00:05

Powered by Discuz! X3.3

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表