наткнулся в старом журнале хакер на статью про обход
загрузки драйверов без цифровой подписи для 64-битной Windows Vista и Windows 7.
Там упоминается утилита atsiv.exe, которая из командной строки
загружает (или выгружает) драйвер без цифровой подписи.
Далее, сказано, что сертификаты этой утилиты забанены в Microsoft,
и она (утилита) не работает.
Однако скачивание (нашел atsiv версии 1.01) и
тестирование трех драйверов без ЦП выдали то, что утилита
отлично работает, и грузит драйверы без ЦП, проверял сам.
Два из трех драйверов загрузились успешно, драйвер, который не загрузился
— nibitor64.sys от утилиты для nvidia видеокарт, возможна причина в самом драйвере.
Загрузились и нормально работают драйверы:
1. WinIo64.sys — прямой доступ к памяти ядра и к портам из ring3
2. ALSysIO64.sys — от утилиты чтения температцры процессора.
Короче, драйверы отлично грузятся atsiv.exe -f имя_файла_драйвера
И выгружаются с ключом -u
Что характерно, не надо включать тестовый режим при загрузке Windows 7.
Тестировалось на системе:
Windows 7 x64 RUS Service Pack 1.
Так, что если кому надо загрузить драйвер в системе x64, то утилита atsiv.exe
очень поможет.
Здравствуйте, roman313, Вы писали:
R>наткнулся в старом журнале хакер на статью про обход R>загрузки драйверов без цифровой подписи для 64-битной Windows Vista и Windows 7.
R>Там упоминается утилита atsiv.exe, которая из командной строки R>загружает (или выгружает) драйвер без цифровой подписи.
R>Далее, сказано, что сертификаты этой утилиты забанены в Microsoft, R>и она (утилита) не работает.
R>Однако скачивание (нашел atsiv версии 1.01) и R>тестирование трех драйверов без ЦП выдали то, что утилита R>отлично работает, и грузит драйверы без ЦП, проверял сам.
Подтверждаю.
Нашел atsiv.exe, проинсталлил в систему один свой 64-битный драйвер.
Использующая его программа нормально запустилась и заработала, хотя в списке msinfo32
драйвер был отмечен как незагруженный.
Машины следующие:
Windows Vista x64 Service Pack 2,
Windows Server 2008 R2 Service Pack 1.
Отладчик не был приаттачен, F8 не нажималась, Debug Mode отключен.
Для проверки Patch Guard выдержал примерно полчаса — никаких синих экранов.
Эх, блин, вот она — хваленая защита 64-битных редакций Windows.
Самое досадное, что сертификат-то отозванный, и этот факт можно увидеть в свойствах
файла atsiv.exe даже на Windows XP.
Мне-то чужого не надо, я в принципе уже и не против цифровых подписей за деньги был, а
теперь (в очередной раз) выяснилось, что это фикция, никакой защиты не было и нет, а
Microsoft просто тянет бабло с ISV, заставляя их покупать эти долбаные сертификаты.
Re[2]: Windows 7 x64-драйвера без цифровой подписи
Да, кстати,
в EXE-файле atsiv лежат 2 драйвера — x32 и x64,
все два с цифровой подписью, которая, если глянуть в свойства
— отозванная, т.е. нерабочая.
Открыл atsiv в IDA, мельком проглядел — они грузят свой драйвер (не разбирался,
как) потом через DeviceIoControl посылают ему IOCTL 0x224F60,
а том их драйвер по-типу грузит указанный.
А как они грузят свой драйвер с отозванным сертификатом — непонятно,
но штука классная.
Re[3]: Windows 7 x64-драйвера без цифровой подписи
R>А как они грузят свой драйвер с отозванным сертификатом — непонятно, R>но штука классная.
Попробуй сделать полное обновление системы через Windows Update, после чего повтори тесты.
Re[2]: Windows 7 x64-драйвера без цифровой подписи
От:
Аноним
Дата:
27.09.11 21:36
Оценка:
Здравствуйте, okman, Вы писали:
O>Эх, блин, вот она — хваленая защита 64-битных редакций Windows. O>Самое досадное, что сертификат-то отозванный, и этот факт можно увидеть в свойствах O>файла atsiv.exe даже на Windows XP. O>Мне-то чужого не надо, я в принципе уже и не против цифровых подписей за деньги был, а O>теперь (в очередной раз) выяснилось, что это фикция, никакой защиты не было и нет, а O>Microsoft просто тянет бабло с ISV, заставляя их покупать эти долбаные сертификаты.
По самой организации системы подписей изначально было понятно, что это не защита от малвары, а телодвижения сугубо в угоду пресловутого DRM и политики "божественного одобрения". Подход в корне неверный — решать за пользователя (администратора) чему можно доверять, а чему нет. И тендеция, что печально, продолжается — анальное рабовладение всё под тем же прикрытием "безопасности".
Отличить одно от другого просто. Возьмём условный пример — если у вас на диске информация шифруется ключом на основе вашего пароля — это безопасность. В идеале должны быть возможности отключения и т.д. Важно наличие контроля над процессом с вашей стороны. А теперь представим если тот же диск зашифрован ключом, хранящимся на сервере Microsoft, который при необходимости, до поры до времени, прозрачно подгружается оттуда для расшифровки, но нет возможности ни отключить это шифрование, ни получить свой ключ. Вот это и есть анальное рабство. Всё постепенно идёт к реализации давно описанных идей по полному "захвату" PC платформы.
Re[4]: Windows 7 x64-драйвера без цифровой подписи
У меня и так стоят все последние обновления
с Windows Update,
причем установлены абсолютно все, включая даже
все необязательные обновления.
(на момент 28 сентября 2011)
Так что все установлено.
Здравствуйте, x64, Вы писали:
R>>А как они грузят свой драйвер с отозванным сертификатом — непонятно, R>>но штука классная.
x64>Попробуй сделать полное обновление системы через Windows Update, после чего повтори тесты.
Re[3]: Windows 7 x64-драйвера без цифровой подписи
Ну во-общем, мне, ИМХО,
было бу лучше, если бы выбирал бы именно я —
какому драйверу (программе) доверять.
Здравствуйте, Аноним, Вы писали:
А>Здравствуйте, okman, Вы писали:
O>>Эх, блин, вот она — хваленая защита 64-битных редакций Windows. O>>Самое досадное, что сертификат-то отозванный, и этот факт можно увидеть в свойствах O>>файла atsiv.exe даже на Windows XP. O>>Мне-то чужого не надо, я в принципе уже и не против цифровых подписей за деньги был, а O>>теперь (в очередной раз) выяснилось, что это фикция, никакой защиты не было и нет, а O>>Microsoft просто тянет бабло с ISV, заставляя их покупать эти долбаные сертификаты.
А>По самой организации системы подписей изначально было понятно, что это не защита от малвары, а телодвижения сугубо в угоду пресловутого DRM и политики "божественного одобрения". Подход в корне неверный — решать за пользователя (администратора) чему можно доверять, а чему нет. И тендеция, что печально, продолжается — анальное рабовладение всё под тем же прикрытием "безопасности".
А>Отличить одно от другого просто. Возьмём условный пример — если у вас на диске информация шифруется ключом на основе вашего пароля — это безопасность. В идеале должны быть возможности отключения и т.д. Важно наличие контроля над процессом с вашей стороны. А теперь представим если тот же диск зашифрован ключом, хранящимся на сервере Microsoft, который при необходимости, до поры до времени, прозрачно подгружается оттуда для расшифровки, но нет возможности ни отключить это шифрование, ни получить свой ключ. Вот это и есть анальное рабство. Всё постепенно идёт к реализации давно описанных идей по полному "захвату" PC платформы.
Re[3]: Windows 7 x64-драйвера без цифровой подписи
Здравствуйте, roman313, Вы писали:
R>Да, кстати, в EXE-файле atsiv лежат 2 драйвера — x32 и x64, R>все два с цифровой подписью, которая, если глянуть в свойства — отозванная, т.е. нерабочая. R>А как они грузят свой драйвер с отозванным сертификатом — непонятно, но штука классная.
Ну а исследование механизма такого "обмана" будет?
