据我所知,驱动在Windows系统中必须有数字签名才能加载,而且Windows 10 11在安全启动开启的电脑上必须是微软WHQL认证的才能加载驱动!直到我拿到了样本文件,我很震惊。这个文件确实是一个没有任何签名的sys文件,我测试了所有主流的Windows系统,它们都能加载这个驱动。这非常可疑!所以我反编译了这个sys文件,发现里面有一个隐藏的数字签名,但是Windows系统没有显示这个签名。这很奇怪。如果Windows不显示数字签名,这应该是一个无效的签名!既然这是一个无效的签名,为什么Windows操作系统能识别它?并且可以正常加载。因为我的逆向工程水平有限,发出样本驱动请求专家完全逆转它,并公开此漏洞利用的详细信息,以便更多人了解它
[培训]科锐逆向工程师培训第53期2025年7月8日开班!
S极客 913K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6V1M7$3I4W2k6e0t1H3x3U0u0Q4x3V1k6e0K9h3N6F1j5i4c8#2M7X3g2w2K9h3b7`.
