Driver 的數位簽章

Microsoft 為了安全性的考量,在 x64 OS 下的 Driver 一定要有合法的數位簽章,否則下場就是這樣,甚麼都不能做。



而我最近碰到一個讀 Physical memory 的問題,改寫 Driver 後卻一直無法使用,即使加上公司的數位簽章也是一樣。Google 了兩天後,終於找到原因順利解決了,步驟如下:

首先,確認你的數位憑證可用於程式碼簽署,然後檢視最上層的憑證 (在此為 VeriSign)


查看最上層憑證的簽發者 (Issuer) 為誰,然後到 Cross-Certificates for Kernel Mode Code Signing 取得對應的交叉認證檔案 (文章中還有提到憑證指紋 (Thumbprint),雖然我的內容跟網站上的不一樣,不過目前測試的結果還是可以使用)


最後照以下的方式簽署,就可以正常使用了

signtool.exe sign /v /ac "VeriSign Class 3 Public Primary Certification Authority - G5.cer" /s my /n "Company name" /t "http://timestamp.verisign.com/scripts/timstamp.dll" /du "http://www.company_name.com" "Driver_name.sys"

上面 .cer 的檔案就是從 Microsoft 取得的交叉認證檔案,其餘參數跟原本簽署數位簽章的一樣

結論就是要在 x64 OS 執行 Driver,除了 Microsoft 認可的數位憑證外,還要加上對應的交叉憑證。先前就是少了這一個步驟,所以才無法正常使用。

Win10 更新


因目前數位簽章更換為 DigiCert,因此需要去 Selecting the Correct Cross-certificate 重新下載交叉憑證


並以下列方式簽署即可 (注意 timestamp 需更換為 degicert 的網站)

signtool sign /v /ac "DigiCert High Assurance EV Root CA.crt" /s my /n "Company name" /t http://timestamp.digicert.com "Driver_name.sys"


參考:如何使用 Microsoft Authenticode 或 Microsoft Office 和 VBA 簽署 Microsoft Vista 64 位元核心模式軟體?

留言

張貼留言

這個網誌中的熱門文章

Linux 批次檔的寫法

圖片
用文字編輯器在第 1 行加入 " #!/bin/bash ",之後就可以寫你要執行的批次命令 存檔後利用下列的指令賦與檔案執行的權限 chmod  a+x  [檔案名稱] Ubuntu 一般安裝完,系統的預設路徑如下: /usr/local/sbin: /usr/local/bin :/usr/sbin:/usr/bin:/sbin:/bin:/usr/games 若批次檔想在任何地方皆可執行,建議放在 /usr/local/bin 路徑下 (需要 root 權限) 若要在目前路徑下執行,記得檔案名稱前面要加 " ./ " 才能正常執行
閱讀完整內容

【分享】如何顯示 Debug Message

圖片
通常在程式 Debug 的過程中會需要顯示一些訊息,最簡單的方式就是利用 MessageBox 來顯示,但缺點是會中斷程式的執行。 所以在 Console or Win32 的程式底下,我們可以直接利用 OutputDebugString (in windows.h) 將訊息輸出到 Visual Studio Output Window,例如     OutputDebugString(_T("Hello, OutputDebugString.\n")); 而 MFC 就更方便了,可以直接用 TRACE 巨集,還可以直接格式化字串,例如     TRACE(_T("Hello, TRACE No. %d.\n"), num);
閱讀完整內容

[分享] Visual Studio 遠端偵錯

圖片
參考: Visual Studio 遠端偵錯和診斷 在程式開發的過程中常需要在不同的作業系統平台上偵錯,以前的做法是在該平台上安裝 Visual Studio,但這不僅僅曠日廢時,同時也破壞測試的完整性,畢竟在一般使用者的平台上是不會有這些開發環境的程式的。 所以看過今天的介紹後,你再也不需要這麼麻煩了,只要有網路線,你就可以利用遠端遙控的方式來偵錯,同時可以將一個測試平台分享給不同的開發者測試,一舉數得。
閱讀完整內容