32位/64位WINDOWS驱动之破解驱动签名蓝屏修复

最新推荐文章于 2024-09-05 10:57:29 发布
原创 最新推荐文章于 2024-09-05 10:57:29 发布 · 1k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#windows #mfc #c++ #服务器 #驱动开发 #c语言 #c#

文章介绍了如何设置系统生成dump文件用于调试,特别是针对VMware花屏问题,指出这可能是由于vmtools的集成显卡驱动导致的。作者提到,使用32位的绕过驱动签名代码可能会导致蓝屏,而切换到64位的代码可以避免这个问题。此外,文章提供了一个名为BypassCheckSign的函数示例,该函数用于在驱动加载时修改签名检查,并建议在驱动对象创建时调用此函数。

一、系统dump文件

dump文件生成设置
dump文件生成设置->系统属性->高级->启动和故障恢复
将事件写入系统日志 勾选
写入调试信息:核心内存转储

vmware花屏问题 vmtools的集成显卡驱动造成的

winbug调试器第一次加载dump文件很慢要是要下载相关的文件,后面就可以很快的打开了。
参考地址:https://blog.youkuaiyun.com/cosmoslife/article/details/113995641
蓝屏原因是因为我们是写的64位的驱动,用的是32位的绕过驱动签名代码,如果用64位的绕过驱动签名的代码就不会蓝屏了。
驱动层:driverentry21.c

typedef struct _KLDR_DATA_TABLE_ENTRY
	{//32位结构
		LIST_ENTRY listEntry;
		ULONG unknown1;
		ULONG unknown2;
		ULONG unknown3;
		ULONG unknown4;
		ULONG unknown5;
		ULONG unknown6;
		ULONG unknown7;
		UNICODE_STRING path;
		UNICODE_STRING name;
		ULONG   Flags;
	} KLDR_DATA_TABLE_ENTRY, *PKLDR_DATA_TABLE_ENTRY;

换成

// 编程方式绕过签名检查
BOOLEAN BypassCheckSign(PDRIVER_OBJECT pDriverObject)
{
#ifdef _WIN64
	typedef struct _KLDR_DATA_TABLE_ENTRY
	{//64位结构
		LIST_ENTRY listEntry;
		ULONG64 __Undefined1;
		ULONG64 __Undefined2;
		ULONG64 __Undefined3;
		ULONG64 NonPagedDebugInfo;
		ULONG64 DllBase;
		ULONG64 EntryPoint;
		ULONG SizeOfImage;
		UNICODE_STRING path;
		UNICODE_STRING name;
		ULONG   Flags;
		USHORT  LoadCount;
		USHORT  __Undefined5;
		ULONG64 __Undefined6;
		ULONG   CheckSum;
		ULONG   __padding1;
		ULONG   TimeDateStamp;
		ULONG   __padding2;
	} KLDR_DATA_TABLE_ENTRY, *PKLDR_DATA_TABLE_ENTRY;
#else
	typedef struct _KLDR_DATA_TABLE_ENTRY
	{//32位结构
		LIST_ENTRY listEntry;
		ULONG unknown1;
		ULONG unknown2;
		ULONG unknown3;
		ULONG unknown4;
		ULONG unknown5;
		ULONG unknown6;
		ULONG unknown7;
		UNICODE_STRING path;
		UNICODE_STRING name;
		ULONG   Flags;
	} KLDR_DATA_TABLE_ENTRY, *PKLDR_DATA_TABLE_ENTRY;
#endif
	PKLDR_DATA_TABLE_ENTRY pLdrData = (PKLDR_DATA_TABLE_ENTRY)pDriverObject->DriverSection;
	pLdrData->Flags = pLdrData->Flags | 0x20;
	KdPrint(("yjx:SYS pLdrData->Flags = pLdrData->Flags | 0x20:"));
	return TRUE;
}

在这里插入图片描述

二、在加载驱动时被调用下加入

BypassCheckSign(DriverObject);

在这里插入图片描述

虚拟机调试结果

在这里插入图片描述

Windows驱动签名解决方案
、moddemod
01-31 3661
写在前面的话 win7以后是需要进行驱动签名的,在开发驱动的时候有两种解决方案,一种是直接启用测试模式,关闭驱动签名,另一种是使用签名工具 第一种方案 测试模式,在测试模式下可以运行非bai官方或无数字签名驱动程序 。 bcdedit /set testsigning on # 开启 bcdedit /set testsigning off # 关闭 或者直接 强制禁用驱动签名 bcdedit /set loadoptions DDISABLE_INTEGRITY_CHECKS # 禁用 bcdedit
pl2303驱动 (win7 64可用不蓝屏
11-21
这通常意味着驱动程序已经经过了优化,解决了与系统兼容性有关的问题,如驱动签名问题、内存分配错误、中断处理不当等,这些都可能是导致蓝屏的常见原因。 在安装PL2303驱动时,用户需要注意以下几点: 1. 首先,...
【完美解决】电脑蓝屏 驱动丢失或包含错误问题的解决办法
无知是恶
09-05 5276
电脑开机出现了蓝屏报错进入恢复页:无法加载操作系统,原因是关键系统驱动程序丢失或包含错误文件 \windows\system32\XXXXX错误代码:XXXX重启无数次也不行,安全模式进不去,修复也不行查了一圈,尝试了多种办法。
驱网程序签名工具破解
04-20
诚信驱动网的签名工具,已破解
修改驱动程序签名
01-18
修改驱动签名 配合封装工具使用 是封装后的程序实现全自动部署
c语言实现绕过驱动签名验证,亚洲诚信数字签名工具修改版 能通过驱动签名验证 免修改系统时间 增加时间戳...
weixin_36250977的博客
05-24 1843
#pragma comment(lib, "detours.lib")#define _CRT_SECURE_NO_WARNINGS#include #include #include #include #include #include #includeusing fntCertVerifyTimeValidity = decltype(CertVerifyTimeValidity);using...
探秘TDL:安全绕过Windows x64驱动签名验证的利器
gitblog_00061的博客
05-16 1171
TDL(Turla Driver Loader)是一个专为x64架构的Windows 7/8/8.1/10设计的工具,用于绕过操作系统内置的安全机制——驱动签名强制执行。它基于古老的Oracle VirtualBox驱动利用技术,创造了一种非侵入性的DSE(Driver Signature Enforcement)规避方案。 ### 2、项目技术分析 TDL并不修改任何内核变量以避免触发Pat...
64Windows驱动签名工具64Signer-V1.2发布
64Signer-V1.2 是一款专为 Windows 7 64 操作系统设计的驱动程序签名工具,其核心功能在于帮助开发者或系统维护人员对未签名驱动程序进行合法签名,从而使其能够在启用了内核模式代码签名(KMCS)强制策略的 64 ...
CP210x USB转串口驱动支持Win7 32/64系统
描述中强调“支持WIN7 64/32”,说明此驱动程序包包含了适用于两种不同架构的系统组件。32系统即x86架构,最大支持4GB内存,而64系统(x64)则能访问更大内存空间并提供更强的处理能力。由于Windows 7自2009年...
Win7 3264网卡驱动程序合集
标题“win7网卡驱动32以及64”明确指出该资源包专为Windows 7系统提供适用于3264架构的网卡驱动程序,满足不同系统环境下的硬件需求。 描述中提到“更新系统为win7的首个必要驱动”,强调了网卡驱动在...
联想工程师专用小工具 强制要求驱动签名修复工具V2.42.1
05-30
联想工程师专用小工具 强制要求驱动签名修复工具V2.42.1联想工程师专用小工具 强制要求驱动签名修复工具V2.42.1联想工程师专用小工具 强制要求驱动签名修复工具V2.42.1联想工程师专用小工具 强制要求驱动签名修复工具V2.42.1联想工程师专用小工具 强制要求驱动签名修复工具V2.42.1联想工程师专用小工具 强制要求驱动签名修复工具V2.42.1联想工程师专用小工具 强制要求驱动签名修复工具V2.42.1联想工程师专用小工具 强制要求驱动签名修复工具V2.42.1联想工程师专用小工具 强制要求驱动签名修复工具V2.42.1联想工程师专用小工具 强制要求驱动签名修复工具V2.42.1联想工程师专用小工具 强制要求驱动签名修复工具V2.42.1联想工程师专用小工具 强制要求驱动签名修复工具V2.42.1联想工程师专用小工具 强制要求驱动签名修复工具V2.42.1联想工程师专用小工具 强制要求驱动签名修复工具V2.42.1联想工程师专用小工具 强制要求驱动签名修复工具V2.42.1联想工程师专用小工具 强制要求驱动签名修复工具V2.42.1联想工程师专用小工具 强制要求驱动签名
破解驱动2014
12-14
破解驱动2014-12月新版版下载公斤和平公斤和平
win7系统驱动强制签名工具,已测可行
03-13
win7系统驱动程序强制签名工具,已测可行
神奇模块过签名加载驱动和DLL
04-08
支持win7到Windows10 64的DLL内存加载与驱动内存加载,自带签名超越DSE~
Windows内核防护:驱动签名绕过检测技术.pdf
最新发布
05-02
文档支持目录章节跳转同时还支持阅读器左侧大纲显示和章节快速定,文档内容完整、条理清晰。文档内所有文字、图表、函数、目录等元素均显示正常,无任何异常情况,敬请您放心查阅与使用。文档仅供学习参考,请勿用作商业用途。 在万物互联的时代,信息安全已成为数字化进程中的关键基石。从金融交易到医疗数据,从企业机密到个人隐私,每一次数据流转都面临着潜在的安全风险。本文聚焦计算机信息安全核心技术,揭示黑客攻击的常见手法与防范策略。通过行业洞察与技术前瞻,帮助读者理解信息安全的底层逻辑,掌握实用的安全防护技巧。让我们共同提升安全意识,用技术为数字生活保驾护航。
KLE驱动程序:兼容多平台与32/64系统
驱动程序方面,支持3264系统意味着该驱动程序必须兼容这两种不同的系统架构。 4. KLE.sys文件: KLE.sys文件为一个驱动程序文件,文件扩展名为.sys,表示该文件是一个系统文件,通常与硬件或设备驱动有关。...
微软CrowdStrike驱动蓝屏以及内核签名
Hello-FPGA
07-23 1953
sys格式的文件实际上是window 的内核驱动文件,做软件开发的工程师多少都会有些了解。内核驱动直接访问了操作系统的底层资源,如果这个文件有bug,系统很容易蓝屏,且无法恢复,因为重启的时候它又会自动加载。先来看看.sys在widnows操作系统所处的层级,非常的low level。
windows mysql5.6 驱动包_Windows文件签名验证绕过漏洞(CVE20201464)漏洞利用
weixin_39852953的博客
11-24 255
关于CVE-2020-1464的事情Microsoft的Authenticode数字签名软件包中的一个漏洞。Authenticode是一种代码签名技术,旨在识别软件发行者,同时还禁止篡改软件包。Authenticode技术的运行方式与数字证书非常相似-“软件发布者在驱动程序或驱动程序包上签名,并用数字证书进行标记,该数字证书可以验证发布者的身份,并且还为代码提供验证数字证书的能力,主要是...
绕过ObRegisterCallbacks需要驱动签名方法
如鹿渴慕泉水的专栏
06-22 710
内核ob函数
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

a756598009

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值