Где хранятся detached подписи драйверов?

Всем хай. Обратил внимание, что у загруженного afd.sys как будто нету цифровой подписи.

Код (Text):

1. >signtool verify C:\windows\system32\drivers\afd.sys
2. SignTool Error: WinVerifyTrust returned error: 0x00000057
3.           .
4. Number of errors: 1

Режим обязательной подписей драйверов включен. Очевидно, винда хранит подписи где-то ещё?

Текстовый поиск "afd" по system32\catroot и system32\catroot2 ничего не дал.

 

По идее, других вариантов в этом случае нет, подписи долны храниться в .cat файлах: https://docs.microsoft.com/en-us/windows-hardware/drivers/install/catalog-files
Для системных драйверов они должны быть в районе того KB, который последним обновлял указанный компонент (In addition to the files that are listed in these tables, this software update also installs an associated security catalog file (KBnumber.cat) that is signed with a Microsoft digital signature), примеры расписаны по ссылке
https://support.microsoft.com/en-us...-windows-afd-sys-could-allow-elevation-of-pri
Сейчас проверить не начем, попробуй так:
SignTool verify /a C:\windows\system32\drivers\afd.sys

 

Понятно, где-то в all catalog databases. Но пофиг. Просто меня поставило в тупик присутствие работающего неподписанного драйвера. Теперь ясно.