Где хранятся detached подписи драйверов?

Тема в разделе "WASM.NT.KERNEL", создана пользователем jeer0, 12 июл 2018.

  1. jeer0

    jeer0 Member

    Публикаций:
    0
    Регистрация:
    31 июл 2017
    Сообщения:
    35
    Всем хай. Обратил внимание, что у загруженного afd.sys как будто нету цифровой подписи.
    Код (Text):
    1. >signtool verify C:\windows\system32\drivers\afd.sys
    2. SignTool Error: WinVerifyTrust returned error: 0x00000057
    3.           .
    4. Number of errors: 1
    [​IMG]

    Режим обязательной подписей драйверов включен. Очевидно, винда хранит подписи где-то ещё?

    Текстовый поиск "afd" по system32\catroot и system32\catroot2 ничего не дал.
     
  2. darkdevel

    darkdevel New Member

    Публикаций:
    0
    Регистрация:
    31 июл 2017
    Сообщения:
    17
    По идее, других вариантов в этом случае нет, подписи долны храниться в .cat файлах: https://docs.microsoft.com/en-us/windows-hardware/drivers/install/catalog-files
    Для системных драйверов они должны быть в районе того KB, который последним обновлял указанный компонент (In addition to the files that are listed in these tables, this software update also installs an associated security catalog file (KBnumber.cat) that is signed with a Microsoft digital signature), примеры расписаны по ссылке
    https://support.microsoft.com/en-us...-windows-afd-sys-could-allow-elevation-of-pri
    Сейчас проверить не начем, попробуй так:
    SignTool verify /a C:\windows\system32\drivers\afd.sys
     
  3. jeer0

    jeer0 Member

    Публикаций:
    0
    Регистрация:
    31 июл 2017
    Сообщения:
    35
     
  4. jeer0

    jeer0 Member

    Публикаций:
    0
    Регистрация:
    31 июл 2017
    Сообщения:
    35
    Понятно, где-то в all catalog databases. Но пофиг. Просто меня поставило в тупик присутствие работающего неподписанного драйвера. Теперь ясно.