Windows驱动签名被攻破了？发现无签名驱动软件携带隐藏签名，攻破WHQL认证！

2.zip (7.08 KB)

2025-5-6 09:35 上传

点击文件名下载附件
无签名驱动样本
下载积分: 经验 -1

        事情是这样的，有一个朋友说发现驱动程序没有签名居然也可以加载驱动。当时我非常震惊，我猜想可能是对方电脑中毒了。因为据我了解，驱动程序想要在Windows系统里面加载必须要有数字签名，而且Windows10 11在开启安全启动的电脑里面，必须要微软whql认证才能加载驱动！直到朋友把文件发来了，我震惊了。确实是一个没有任何签名的sys文件，于是我测试了所有主流windows系统居然全部可以加载驱动，非常情况，有猫腻！
       于是逆向分析了这个sys文件，看见内部藏了一个数字签名，但是windows系统不显示这个签名。这就奇怪了，如果windows不显示数字签名，应该是无效签名啊！既然是无效签名，为什么Windows操作系统可以识别呢？并且可以正常加载。
      因为本人逆向水平有限，故请360专家完整的逆向出来是怎么回事？还有听说，这个sys隐藏签名，可以在正常的软件里面夹带，可以实现绕过WHQL认证！
我朋友说不要分享样本，但是我们2个人逆向了半天也没搞懂是什么样的技术。
     请求专家完整逆向出来，并且公开这个漏洞利用细节，让更多的人知道。如果360逆向出来了，请不要私藏起来，应该和更多的安全人士分享这个发现！提高所有人的安全意识，更多的样本可以联系我！

你好，我看到你这边有上传文件的行为，但是文件实际没有上传到我们的帖子中，你在这里上传下(上传之前先用卫士最新版扫描下，看看是否支持查杀），我们分析后给你答复https://open.soft.360.cn/report.php

https://bbs.kafan.cn/thread-2281270-1-1.html   什么情况，逆向有难度啊，请求360方面的安全专家更多的关注这个漏洞细节！
以后如果大量被利用，所有杀软和游戏安全都会遭殃的！卡饭反病毒组 目前似乎逆向遇到困难了！大家一起加入吧！