驱动开发：内核测试模式过DSE签名

驱动,开发,内核,测试,模式,dse,签名 · 浏览次数 : 540

小编点评

## DSE保护机制介绍微软的DSE保护机制（Driver Signature Enforcement，驱动程序签名的检查）是一种用于保护系统免受恶意软件破坏的方法。它确保所有运行在系统上的驱动程序都是由微软认证的，只有经过验证的驱动程序才能正常运行。 **核心功能：** * 验证驱动程序的签名的正确性。 * 当驱动程序被加载到内存时，会验证签名的正确性。 * 如果签名不正确，系统会拒绝运行驱动程序。 **验证过程：** 1. **加载驱动程序：**当驱动程序被加载到内存时，会读取其入口地址 _KLDR_DATA_TABLE_ENTRY。 2. **检查签名的正确性：**该结构包含驱动程序的签名信息，系统会比较签名信息与所接收的签名信息是否匹配。 3. **如果签名正确，加载驱动程序：**驱动程序正常加载。 **调试模式中的特殊处理：** 在调试模式下，由于验证被绕过，驱动程序不会在加载时验证签名。这降低了测试效率，但可以帮助排除调试中的错误。 **代码实现：** ```c++ PKLDR_DATA_TABLE_ENTRY pLdrData = (PKLDR_DATA_TABLE_ENTRY)pDriverObject->DriverSection;\tpLdrData->Flags = pLdrData->Flags | 0x20;\t return TRUE; ``` 这段代码检查驱动程序的签名的正确性，并如果正确，将其Flags标志设置为 0x20。 **总结：** DSE保护机制是保护系统免受恶意软件破坏的重要措施。它通过验证驱动程序的签名来确保只有经过验证的驱动程序才能正常运行。虽然这种机制在调试模式下无效，但它可以方便测试驱动程序。

正文

微软在x64系统中推出了DSE保护机制，DSE全称(Driver Signature Enforcement)，该保护机制的核心就是任何驱动程序或者是第三方驱动如果想要在正常模式下被加载则必须要经过微软的认证，当驱动程序被加载到内存时会验证签名的正确性，如果签名不正常则系统会拒绝运行驱动，这种机制也被称为驱动强制签名，该机制的作用是保护系统免受恶意软件的破坏，是提高系统安全性的一种手段。

该验证机制即便是在调试模式也需要强制签名，对于一名驱动开发者来说是很麻烦的一件事情，而签名的验证则是在加载时验证驱动入口_KLDR_DATA_TABLE_ENTRY里面的Flags标志，如果此标志被pLdrData->Flags | 0x20置位，则在调试模式下就不会在验证签名了，省去了重复签名的麻烦。

代码的实现非常容易，如下所示:

// 署名权
// right to sign one's name on a piece of work
// PowerBy: LyShark
// Email: me@lyshark.com

#include <ntifs.h>

// 绕过签名检查
BOOLEAN BypassCheckSign(PDRIVER_OBJECT pDriverObject)
{
#ifdef _WIN64
	typedef struct _KLDR_DATA_TABLE_ENTRY
	{
		LIST_ENTRY listEntry;
		ULONG64 __Undefined1;
		ULONG64 __Undefined2;
		ULONG64 __Undefined3;
		ULONG64 NonPagedDebugInfo;
		ULONG64 DllBase;
		ULONG64 EntryPoint;
		ULONG SizeOfImage;
		UNICODE_STRING path;
		UNICODE_STRING name;
		ULONG   Flags;
		USHORT  LoadCount;
		USHORT  __Undefined5;
		ULONG64 __Undefined6;
		ULONG   CheckSum;
		ULONG   __padding1;
		ULONG   TimeDateStamp;
		ULONG   __padding2;
	} KLDR_DATA_TABLE_ENTRY, *PKLDR_DATA_TABLE_ENTRY;
#else
	typedef struct _KLDR_DATA_TABLE_ENTRY
	{
		LIST_ENTRY listEntry;
		ULONG unknown1;
		ULONG unknown2;
		ULONG unknown3;
		ULONG unknown4;
		ULONG unknown5;
		ULONG unknown6;
		ULONG unknown7;
		UNICODE_STRING path;
		UNICODE_STRING name;
		ULONG   Flags;
	} KLDR_DATA_TABLE_ENTRY, *PKLDR_DATA_TABLE_ENTRY;
#endif

	PKLDR_DATA_TABLE_ENTRY pLdrData = (PKLDR_DATA_TABLE_ENTRY)pDriverObject->DriverSection;
	pLdrData->Flags = pLdrData->Flags | 0x20;

	return TRUE;
}

VOID UnDriver(PDRIVER_OBJECT driver)
{

}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)
{
	NTSTATUS status;

	// 绕过签名检查
	// LINKER_FLAGS=/INTEGRITYCHECK
	BypassCheckSign(Driver);

	DbgPrint("[驱动已加载] hello lyshark.com \n");

	Driver->DriverUnload = UnDriver;
	return STATUS_SUCCESS;
}

将程序拖入到虚拟机，直接运行即可加载，无需再继续签名：

当然这种方式只能在测试模式下使用，在正常模式也是无效的，只是为了方便测试驱动。