为sys/cat文件生成测试签名

最新推荐文章于 2023-03-30 22:19:43 发布
最新推荐文章于 2023-03-30 22:19:43 发布
阅读量970 收藏 2
点赞数
分类专栏: 驱动开发 文章标签: 驱动-sys-数字签

为sys/cat文件生成测试签名

这几天想测试一下使用DpInst安装驱动,由于驱动程序没有签名因此安装失败,借此研究一下如何为Sys/cat文件生成测试签名。本文参考了看雪论坛上的一篇文章:win x64平台驱动测试数字签名,并对其中一些错误(可能是作者前后两次实验导致的偏差)做了修改。
驱动在开发/测试阶段时是没有数字签名的,所以一般都会开机后进入F8,选择禁止数字签名强制,但是这个办法的麻烦之处就是每次开机都要这样操作,要是虚拟机的话,一不小心错过了会很麻烦。MSDN上对这个有个解决方案就是使用测试签名。假设编译好的驱动的位置是: E:/WinDDk/my_test/objchk_win7_amd64/amd64
1. 制作一个测试使用的数字证书:
使用管理员权限打开命令行(可以用DDK提供的Checked/Free Build Environment)进入驱动的路径,然后输入以下命令:
makecert -r -pe -ss PrivateCertStore -n CN=Contoso.com(Test) My_Test.cer
(注:PrivateCertStore和Contoso.com(Test)可以随意命名),这个时候在目录下会生成一个My_Test.cer的测试证书;如果不使用管理员权限可能会失败;如果使用cmd可能会失败;

  1. 修改INF文件并生成目录文件:
    修改INF文件[version]节,在这个节点的最后增加一个
    CatalogFile.NtAMD64 = My_Test_AMD64.cat
    需要注意的是这个CatalogFile只有CatalogFile.NtAMD64 CatalogFile.Nt CatalogFile三个情况;然后将INF文件也放到驱动sys文件的路径下
    在Checked/Free Build Environment输入下面的命令:
    Inf2cat.exe /driver:E:/WinDDk/my_test/objchk_win7_amd64/amd64/ /os:7_x64
    如果想对其他系统平台生成cat文件,可以参考这篇文章: Inf2Cat应用的参数使用详细介绍(inf2cat生成cat文件)

  2. 对cat文件签名:
    使用以管理员权限打开WDK带的命令行,定位到驱动程序路径下,输入下面的命令:
    Signtool sign /a /v /s PrivateCertStore /n Contoso.com(Test) /t http://timestamp.verisign.com/scripts/timestamp.dll My_Test_AMD64.cat
    这里需要联网,不联网会有一个警告,因为它需要去生成时间戳;另外,执行Signtool时的/s和/n参数后面跟的字符串要分别对应执行makecert时的-ss -n参数的内容(原作者这块内容可能笔误写错了,导致签名失败)

  3. 注册测试数字证书:
    定位到驱动文件路径下,输入以下命令:
    certmgr.exe /add My_Test.cer /s /r localMachine root

  4. 对驱动文件签名:
    定位到驱动文件路径下,输入以下命令:
    Signtool sign /a /v /s PrivateCertStore /n Contoso.com(Test) /t http://timestamp.verisign.com/scripts/timestamp.dll xxxx.sys
    这里同样需要联网,不联网会有一个警告,因为它需要去生成时间戳;

  5. 安装测试签名:
    在目标机上,将xxx.sys xxx.inf My_Test.cer My_Test_AMD64.cat,以及certmgr.exe放在一个路径下,然后以管理员权限打开CMD命令行定位到这个目录,

输入以下命令来注册证书以及打开测试模式:
(这两步很重要,笔者尝试过在没有注册证书的目标机上用DpInst来安装签过名的sys和cat,结果就是没有成功安装驱动包)
certmgr.exe /add My_Test.cer /s /r localMachine root
certmgr.exe /add My_Test.cer /s /r localMachine trustedpublisher

cd c:/windows/system32/
bcdedit.exe /set TESTSIGNING ON

测试模式打开一次后,即使重启电脑也不用再次设置,除非显式的关闭它;窗体右下角会提示目前是在测试模式,关闭的命令是bcdedit.exe /set TESTSIGNING OFF
需要注意的事项:
1. 如果目标机上没有certmgr.exe,那么可以从主机上直接拷贝一个64位的certmgr.exe过去的;
2. 如果重新生成了sys文件而没有修改inf文件的话,那么只需要在生成sys文件后再次执行对驱动文件的重新签名即可;测试证书和目录文件都不需要重新生成;

Windows驱动通过inf文件生成cat文件步骤
技术联盟
12-11 3776
编写Windows驱动程序,最后一步就是打包和安装。Windows 7 64位系统以上的版本,如果没有对cat或者sys文件进行数字签名驱动安装会出现问题,或者驱动使用过程也会出现异常。为了兼容性考虑,我们需要生成cat文件。 本人环境win7 x64位,安装了WinDDK。WinDDK提供了 Inf2Cat.exe 工具,该工具在C:\WinDDK\7600.16385.1\...
linux设备模型:固件设备及efi固件(平台)设备节点创建过程分析
大昱的博客
11-17 1280
本篇分析固件系列(以efi为例),固件可以分为(系统)引导阶段(efi stub启动模式)、固件内存映射(物理地址映射到虚拟地址等等)、固件注册到平台设备、平台设备运行等等。固件设备具有更广泛的意义,当然复杂度也更高一些。 固件系列更偏向于开发板,通常由内核模块(服务)与应用程序完成一些硬件级上电/下电及设备形式控制(如更新固件)等等。参考Documentation中一些文章内容
windows驱动数字签名之WHQL完整流程 | WHQL认证环境部署以及HLK测试
西京刀客
06-24 5374
由于受微软信任的Digicert,Entrust,Sectigo,Thawte等第三方驱动代码签名交叉证书已全部过期,微软不再接受EV代码签名证书为驱动程序进行内核数字签名。取而代之的是需要对驱动程序做WHQL认证(微软徽标认证)。 WHQL认证,也叫Windows徽标认证,由美国微软公司(Microsoft)设立的认证,Windows微软徽标认证的全名为Windows Hardware Quality Labs(WHQL)。......
打开WIN7测试模式和驱动强制签名
11-02
一键执行实现打开WIN7测试模式和强制驱动签名,特别适合系统管理和手机维修人员!
Win64 驱动签名
zp33
04-05 2141
以下内容原文来自网友ndis_passthru。略作修改(本人使用过程需要) 网友http://my.youkuaiyun.com/changpei,他写的关于驱动的文章也是很好 Vista 之后的 64位os里 ,内核程序都需要签名才能加载。要使x64 os加载自己的驱动,有3种方式 : 1)、开机时–> F8–> “Disbale Driver Signature Enforcement”。
Windows内核编程生成.sys文件需要签名才能加载
stdimm的博客
10-20 1032
作者最近因为在做内核驱动的作业,在本机WIndows10+WDK10上简单实现了一个驱动,满心欢喜放在Win7虚拟机里运行结果各种一直有提示需要签名,作者查了许多资料,包括开机F8取消强制签名,进入调式模式,输入一些命令等等还是无法成功,最后绝望之下在VS2019里改动了设置 将Sign Mode改为Test sign,即增加了签名,结果居然成功运行了???? 我在很多资料上配置环境时,大部分作者都将Sign Mode改为Off,结果发现实际上会导致无法运行?作者猜测应该时要将虚拟机改为调式模式+S
syscat文件进行数字签名
sheailanlingyu的博客
08-07 5845
管理员权限打开VS 工具->Visual Studio命令提示 输入命令:makecert -r -pe -ss Ctcloud -n CN=Ctcloud.com(Test) xxx.cer 生成cer证书文件 输入命令:Signtool sign /a /v /s Ctcloud /n Ctcloud.com(Test) /t http://timestamp.verisign.co...
驱动签名及创建cat文件
05-28
驱动签名涉及到对驱动文件(通常为`.sys`文件)以及相关的配置文件(`.inf`文件)进行验证,确保它们来自受信任的开发者并且未经篡改。在本话题中,我们将详细探讨如何创建和署`.cat`(Catalog File)文件,这是...
怎么使用 HLK Studio打包.cat .sys .inf文件
最新发布
04-01
- 自动包含`.cat`(数字签名目录文件)、`.sys`和`.inf` --- ### **步骤5:签名验证** 1. 检查签名有效性 - 右键`.cat`文件 > 属性 > 数字签名 - 确保证书链完整且未被吊销 2. 测试安装 - 通过设备管理器手动...
SignTool(签名工具包)
12-14
签名工具 (SignTool.exe) 签名工具是一个命令行工具,用于对文件进行数字签名,验证文件或时间戳文件中的签名。 注意 Microsoft Windows NT、Windows Me、Windows 98 或 Windows 95 中不支持签名工具。 signtool [command] [options] [file_name | ...] 参数 参数 说明 command 命令标志之一,用于指定要对文件执行的操作。 options 用于修改命令标志的选项标志之一。 file_name 要进行签名文件的路径。 签名工具支持下列命令。 命令 说明 catdb 在目录数据库中添加或移除目录文件。 sign 对文件进行数字签名。 signwizard 启动签名向导。只能为文件名命令行参数指定一个文件。 timestamp 时间戳文件。 verify 验证文件数字签名。 下列选项应用于 catdb命令。 Catdb 选项 说明 /d 指定更新默认目录数据库。如果 /d和 /g 选项都未使用,则签名工具更新系统组件和驱动程序数据库。 /g GUID 指定更新由全局唯一标识符 (GUID) 标识的目录数据库。 /r 从目录数据库中移除指定的目录。如果未指定该选项,签名工具将向目录数据库添加指定的目录。 /u 指定为添加的目录文件自动生成唯一的名称。如有必要,将重命名目录文件,以避免与现有的目录文件发生冲突。如果未指定该选项,签名工具将重写与所添加的目录同名的任何现有目录。 注意 目录数据库用于自动查找目录文件。 下列选项适用于sign命令。 Sign 选项 说明 /a 自动选择最佳的签名证书。如果未指定该选项,签名工具仅查找一个有效的签名证书。 /c CertTemplateName 指定用于对证书进行签名的证书模板名(一个 Microsoft 扩展)。 /csp CSPName 指定包含私钥容器的加密服务提供程序 (CSP)。 /d Desc 指定已签名内容的说明。 /du URL 指定已签名内容的更详细说明的统一资源定位器 (URL)。 /f SignCertFile 指定文件中的签名证书。如果文件是个人信息交换 (PFX) 格式且受密码保护,则使用 /p 选项来指定密码。如果文件不包含私钥,则使用 /csp 和 /k 选项来分别指定 CSP 和私钥容器名。 /i IssuerName 指定签名证书的颁发者的名称。该值可以是整个颁发者名称的子字符串。 /k PrivKeyContainerName 指定私钥容器名。 /n SubjectName 指定签名证书的主体的名称。该值可以是整个主体名称的子字符串。 /p 密码 指定打开 PFX 文件时使用的密码。可以通过使用 /f 选项来指定 PFX 文件。 /r RootSubjectName 指定签名证书必须链接到的根证书的主体名称。该值可以是根证书的整个主题名称的子字符串。 /s StoreName 指定要在搜索证书时打开的存储区。如果未指定该选项,则打开“我的存储区”。 /sha1 哈希 指定签名证书的 SHA1 哈希。 /sm 指定使用一个计算机存储区,而不是使用用户存储区。 /t URL 指定时间戳服务器的 URL。如果该选项不存在,将不会对签名文件执行时间戳操作。如果时间戳操作失败,将生成一个警告。 /u 用法 指定签名证书中必须存在的增强型密钥用法 (EKU)。可以通过 OID 或字符串指定该用法的值。默认用法为“代码签名”(1.3.6.1.5.5.7.3.3)。 下列选项适用于 timestamp 命令。 Timestamp 选项 说明 /t URL 必选。指定时间戳服务器的 URL。要执行时间戳操作的文件必须在以前已经进行了签名。 下列选项适用于 verify 命令。 Sign 选项 说明 /a 指定可以使用所有方法来验证文件。首先,搜索目录数据库以确定是否在目录中对文件进行了签名。如果未在任何目录中对文件进行签名签名工具将尝试验证文件的嵌入签名。验证可以或不能在目录中进行签名文件时,建议使用该选项。可以或不能签名文件示例包括 Windows 文件驱动程序。 /ad 使用默认的目录数据库查找目录。 /as 使用系统组件(驱动程序)目录数据库查找目录。 /ag CatDBGUID 在由 GUID 标识的目录数据库中查找目录。 /c CatFile 通过名称指定目录文件。 /o Version 通过操作系统版本验证文件。version 参数的格式为 PlatformID:VerMajor.VerMinor.BuildNumber /pa 指定使用默认的身份验证策略。如果未指定 /pa 选项,签名工具将使用 Windows 驱动程序验证策略。此选项不能与 catdb 选项一起使用。 /pg PolicyGUID 通过 GUID 指定验证策略。GUID 对应于验证策略的 ActionID。此选项不能与 catdb 选项一起使用。 /r RootSubjectName 指定签名证书必须链接到的根证书的主体名称。该值可以是根证书的整个主题名称的子字符串。 /tw 指定如果签名没有时间戳,则生成一个警告。 下列选项适用于所有签名工具命令。 全局选项 说明 /q 执行成功时不生成输出,执行失败时生成最少的输出。 /v 执行成功、执行失败或产生警告消息时生成详细输出。 备注 签名工具要求本地计算机上安装了 CAPICOM 2.0 可再发行程序。可以从 http://www.microsoft.com/msdownload/platformsdk/sdkupdate/psdkredist.htm 获得 CAPICOM 2.0 可再发行程序。 签名工具的 verify 命令确定签名证书是否由受信任的颁发机构颁发、是否已撤消了签名证书,以及签名证书对于特定策略是否有效(此项可选)。 执行成功时,签名工具返回退出代码 0;执行失败时,签名工具返回退出代码 1;执行完毕并给出警告时,签名证书返回退出代码 2。
64位驱动证书签名工具signtool.exe
09-12
SignTool.exe 驱动证书签名工具,64位windows操作系统下的驱动需要使用该工具进行签名。 MSCV-VSClass3.cer 交叉签名证书。11
数字证书代码签名工具
02-01
数字证书集成签名各种软件和微软内核驱动签名——工具已经签名认可,必须在win 7以上系统使用
signtool工具,生成CAT文件
09-26
signtool工具,生成CAT文件,对应INF,windows 10环境下。
sys驱动签名工具.zip
10-17
sys驱动签名工具.zipsys驱动签名工具.zipsys驱动签名工具.zipsys驱动签名工具.zipsys驱动签名工具.zip
SignTool.exe(签名工具)
04-01 722
签名工具是一个命令行工具,用于用证书对文件进行数字签名,验证文件和时间戳文件中的签名。 用法:signtool [command] [options] [file_name | ...] command 指定要对文件执行的操作的四个命令之一(catdb、sign、Timestamp 或 Verify)。 options 用于...
如何去打造属于自己的cat文件
章飞 _906285288的博客
02-25 1139
其实系统cat命令相对功能是比较全的,但是总结下来也只有几点; 1:查看文件 cat cat a.txt 查看 2:输入到文本文件cat > a.txt //输出重定向 3:重定向输出到文本文件cat < a.txt //输入重定向 直奔主题:上代码#include<stdio.h> #include<stdlib.h> #include<fcntl.h> #include"io.h
Windows驱动签名,应用程序签名教程
a772336300的博客
03-30 4335
获取数字证书 首先,您需要获取数字证书。数字证书是一种电子凭证,用于证明您的身份和对代码的所有权。您可以在各种数字证书颁发机构(CA)中获得数字证书,例如Symantec、VeriSign、Comodo等。您可以在它们的网站上申请数字证书。这是一个简单的系统驱动sys文件签名教程。请注意,签名sys文件是保护计算机安全的重要步骤。签名过程需要确保您的数字证书有效并且使用了正确的工具和命令。安装数字证书 安装数字证书后,您需要将其导入到计算机的证书存储中。
内核驱动签名sys文件签名指南
weixin_30687051的博客
05-10 1105
本文来自:维瑞-技术中心-内核驱动签名指南 http://www.willrey.com/support/digital_signatures_for_kernel.html sys内核驱动签名指南 Vista Non-PnP Kernel-Mode Boot Driver签名指南 Boot Start Driver 是指在操作系统启动时,就加载的驱动。由于系统刚刚启动,所以不会像加载其他P...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值