探秘TDL:安全绕过Windows x64驱动签名验证的利器

于 2024-05-16 09:36:01 发布
阅读量425 收藏 7
点赞数 3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00061/article/details/138944916
版权

探秘TDL:安全绕过Windows x64驱动签名验证的利器

1、项目介绍

TDL(Turla Driver Loader)是一个专为x64架构的Windows 7/8/8.1/10设计的工具,用于绕过操作系统内置的安全机制——驱动签名强制执行。它基于古老的Oracle VirtualBox驱动利用技术,创造了一种非侵入性的DSE(Driver Signature Enforcement)规避方案。

2、项目技术分析

TDL并不修改任何内核变量以避免触发PatchGuard,而是利用一个定制的引导壳码将你的特殊设计的驱动映射到内核模式,并直接执行其入口点(DriverEntry)。这种技术的优势在于,尽管你的驱动必须被设计为“无驱动”状态运行,但一旦成功加载,它们将在内核模式下作为可执行代码缓冲区存在,与普通的内核驱动相比,这意味着更多的灵活性和潜力。

3、项目及技术应用场景

适用于系统开发者、安全研究人员和逆向工程师,尤其是那些需要在不签名的情况下测试或部署驱动程序的人群。通过TDL,他们可以在不需要完全禁用DSE的情况下,实现对自定义驱动的内核级别调试和测试。

4、项目特点

  • 兼容性:支持x64架构的Windows 7至10。
  • 非侵入性:避开PatchGuard,减少蓝屏风险。
  • 灵活性:能加载特别设计的“无驱动”驱动程序,但需注意限制。
  • 安全性提示:由于涉及到内核级别的操作,可能会有部分杀毒软件误报。

不过,值得注意的是,由于TDL依赖的老版VirtualBox驱动可能与新版本的Windows不兼容,因此在较新的操作系统上使用可能存在风险。作者已声明该项目可能被视为废弃/不再维护,未来更新主要集中于TDL加载器本身。

构建与使用

源码提供完整,需要Visual Studio 2015 U1或以上版本以及Microsoft Windows Driver Kit 8.1或更高版本来编译。详细构建步骤在README中有说明。

总结,如果你是一位热衷于系统底层研究的技术爱好者,或者在寻找一种方法来测试未签名的驱动程序,那么TDL无疑是一个值得探索的开源项目。虽然存在一定的风险,但其独特的工作原理和潜在的应用场景,使它成为了一个有价值的工具。

殷巧或
关注
  • 3
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
c语言实现绕过驱动签名验证,亚洲诚信数字签名工具修改版 能通过驱动签名验证 免修改系统时间 增加时间戳...
weixin_36250977的博客
05-24 1417
#pragma comment(lib, "detours.lib")#define _CRT_SECURE_NO_WARNINGS#include #include #include #include #include #include #includeusing fntCertVerifyTimeValidity = decltype(CertVerifyTimeValidity);using...
TDL:.dan.g。ToDoList的协议,对SVN用户有用
04-11
【标题】:“TDL:.dan.g。TodoList的协议,对SVN用户有用” 【描述】中的“注册伪造的TDL协议:使tdl:///filename.tdl?tid可用”意味着在计算机系统中,TDL(TodoList)协议被模拟创建,允许用户通过tdl:协议来...
x64 windows平台上驱动强制签名的方法
El Chico, El Programador, El Expatriado
02-10 1095
最近想学习windows内核驱动程序开发了,但是从Vista开始,x64操作系统需要签名才能加载驱动,又没钱买whql签名证书,这里先记录几个临时的解决办法 方法 说明 使用x86系统部署驱动 对需要64位功能的开源内核驱动程序无效 进入测试模式bcdedit /set testsigning on 如果开启了Secure Boot进入测试模式将会失败 在系统引导的时候按F8选择禁用驱动程序签名强制 Win10按住Shift键然后点击重启进入高级启动 进入调试模.
神奇模块过签名加载驱动和DLL
04-08
支持win7到Windows10 64位的DLL内存加载驱动内存加载,自带签名超越DSE~
绕过ObRegisterCallbacks需要驱动签名方法
如鹿渴慕泉水的专栏
06-22 507
内核ob函数
【转载】利用签名驱动漏洞加载签名驱动
时空之中的灵魂
06-14 936
设置电脑为测试模式加载驱动,某些游戏在该模式下不运行。自己写的驱动没有签名,系统不加载。自己写的驱动没有签名,系统不加载
windows mysql5.6 驱动包_Windows文件签名验证绕过漏洞(CVE20201464)漏洞利用
weixin_39852953的博客
11-24 168
关于CVE-2020-1464的事情Microsoft的Authenticode数字签名软件包中的一个漏洞。Authenticode是一种代码签名技术,旨在识别软件发行者,同时还禁止篡改软件包。Authenticode技术的运行方式与数字证书非常相似-“软件发布者在驱动程序或驱动程序包上签名,并用数字证书进行标记,该数字证书可以验证发布者的身份,并且还为代码提供验证数字证书的能力,主要是...
tdl:一个低级的 WebGL 库
06-14
TDL 请查看 。 它可以说是 TDL 的精神继承者。 TDL 是 WebGL 应用程序的低级库。 它目前专注于渲染速度而不是易用性。 一些 注意:低级是指 TDL 目前不提供任何 3D 知识。 几乎没有内置着色器。 没有场景图。 ...
tdl:Node.js绑定到TDLib
02-04
tdl (电报数据库库)JavaScript包装器,用于创建客户端或机器人的库。 需要TDLib 1.5.0或更高版本。 目录 安装 编译TDLib( ) npm i tdl tdl-tdlib-addon (同时安装) npm i --save-dev tdlib-types如果使用...
tdl:Gradle插件可反映给定飞利浦Hue房间中的测试套件结果
04-14
测试驱动照明 是否曾经想过将Gradle版本的测试结果反馈到您的Hue灯泡上? 不? 足够公平,但是这意味着您在错误的位置,因为此插件完全可以满足您的要求。 用法 该插件目前不在任何地方托管,但如果签出并构建,则...
WIN64_SSDTHOOK.rar_64 ssdT_64 ssdt c_TDL_win64 ssdt hook_win7 SS
07-15
在32位版本的Windows(即WIN32)中,SSDT是通过全局描述符表(GDT)中的一个条目来访问的,而64位版本的Windows(即WIN64)引入了一些显著的变化,使得原有的SSDT挂钩技术不再适用。本篇文章将深入探讨这些变化以及...
2--编译64位驱动,设置驱动测试签名
haodawei123的博客
02-13 686
平台和配置属性 平台选择x64,配置属性选择Win7 Debug,这是因为我会在虚拟机上运行我们的驱动,而我的虚拟机是Win7 64位。在测试我们的驱动程序时我们最好使用虚拟机进行操作,因为驱动程序很容易照成蓝屏。64位的OS只能加载64位的驱动程序,32位的OS只能加载32位的驱动程序。 2. 设置测试签名 64位的Windows系统在加载驱动时要求驱动必须被签名,我们可以在工程属性中设置一...
Win10安装不含数字签名驱动的方法
最新发布
degogmy的博客
11-11 2342
win10安装驱动时无数字签名怎么办?
32位/64位WINDOWS驱动之破解驱动签名蓝屏修复
a756598009的博客
06-28 636
dump文件生成设置dump文件生成设置->系统属性->高级->启动和故障恢复将事件写入系统日志 勾选写入调试信息:核心内存转储vmware花屏问题 vmtools的集成显卡驱动造成的winbug调试器第一次加载dump文件很慢要是要下载相关的文件,后面就可以很快的打开了。参考地址:https://blog.csdn.net/cosmoslife/article/details/113995641。
Win10驱动数字签名的解决办法
热门推荐
Sagittarius_Warrior的博客
04-07 3万+
方法一:采用高级重启的方式,点击打开链接 方法二:下载“EASYBCD”软件; 方法三: 1,系统启动时,按“delete”进BIOS; 2,在BIOS中,关闭“默认系统”,这样就可以在每次开机时进“Windows启动管理器”; 另外,也可参考如下方法进“Windows启动管理器”(点击打开链接) 3,在“Windows启动管理器”中,按F8进高级设置页面,再选“禁用数
windows10永久禁用驱动强制签名
muzhibot的博客
05-27 746
修改完成后,把这3个文件替换到system32下,另外winload.exe和winload.efi还要替换到system32\boot下,这里也有2个同样的文件,因为对system32下的文件权限不够,不设置权限是替换不了的,有2种方式可以替换system32下的文件,一是对要替换的文件设置所属用户为administrator,然后修改administrator对替换文件的修改权限,二是用启动pe系统直接拷贝.为了保险起见,替换之前需要备份好原来的文件,以便失败后,可以通过pe把原来的文件恢复回去.
取消 Win7 驱动数字签名认证 WIN7 X64 系统
ace0580的博客
12-17 2054
  计算机硬件越来越白菜价,更多的人为了使用更高的配置,都用上了 4G 或者 8G 的内存, 可惜 32 位的系统是无法支持 4G 以上内存的,大多数的朋友都换上了又炫又新鲜的 64 位 win7 系统,而由于 64 位的 win7 考虑了系统安全的问题,对于未有认证签名驱动程序进 行了限制安装, 但是大多数使用了驱动文件的小程序不可能有数字签名认证的, 难道我们就 不能顺利的在 64...
取消Win7驱动数字签名认证
爬行的菜鸟的博客
08-25 3209
这两天在做驱动相关的开发问题 现在遇到了签名无法通过的问题 我的系统是win7 64位 我的办法如下 临时解决方法:运行,输入:bcdedit/set testsigning on 回车 然后重启 就可以关闭强制数字签名 先这样使用吧,还是有问题 先记录一下 ...
/bin/sh: lmstat_tdl: command not found
06-06
/bin/sh: lmstat_tdl: command not found 是一个错误信息,它表示在使用/bin/sh 脚本时,系统无法找到lmstat_tdl 命令。lmstat_tdl是一种用于控制许可证的命令,它通常用于管理软件许可证。通常情况下,这种错误可能是由于许可证管理软件没有安装或配置不正确造成的。 如果遇到这种错误,您可以首先检查是否已经安装了许可证管理软件,并确认其是否已经配置正确,以便正确识别lmstat_tdl命令。如果您在检查后发现许可证管理软件还没有安装或配置不正确,那么您需要参考软件提供的安装指南,正确安装并配置许可证管理软件。然后您可以再次运行/bin/sh脚本,以查看是否已经成功解决了该错误。 总的来说,/bin/sh: lmstat_tdl: command not found错误信息出现时,主要原因是许可证管理软件没有正确安装或配置不正确,需要检查并进行正确的安装和配置,以确保软件许可证的正确管理。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

殷巧或

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值