Unsigned drivers willen nog welles wat problemen geven de laatste tijd omdat Vista SP1 (32/64) ze niet meer accepteerd. Tijdens het opstarten krijg je dan een melding dat Windows niet op kan starten
nou zag ik op half-open.com een patcher voor tcpip.sys staan (waarmee je dus meer dan 10 'half open' poortjes kan gebruiken, wat nogal belangrijk is voor BitTorrent/ P2P en overige server zaken)
Dus ik kijk ff goed, naar wat het ding precies doet... (met sysinternals procmon) en daar komt uit:
(Dit alles.. nadat 1 byte in tcpip.sys is aangepast.)
Voor diegene die niet zien wat er precies gedaan word:
Er word een nieuw certificaat aangemaakt voor Windows wat in de certificate store onder "Thrusted Root Certificate Authorities" word geplaatst. Hier word het tcpip.sys bestand vervolgens ook mee gesigned, zodat Windows de driver wel laad.
Wat is nu je punt?
Nou, als dit met TCPIP.sys werkt, zal het ook wel met unsigned (oudere) drivers werken. Mocht je geen signed driver ergens voor kunnen vinden is dit mischien een (tijdelijke) oplossing.
Ik wil dit zelf in een unattended Vista installatie image gebruiken, vandaar dat ik niet het programmatje gebruik.
De tools die hierboven gebruikt worden zitten bij het tooltje van half-open.com, maar komen volgens mij uit 1 of andere SDK van MS. Ik heb nu een batchfile geschreven die in principe (met dus die tools + md5sums.exe +hexalter.exe) het half-open programmatje vervangt.
(VOLGENDE CODE IS NOG NIET AF, NIET GEBRUIKEN, MD5 KLOPT OOK NIET, NIET GEBRUIKEN)
Als dit batch filetje zo nu en dan word geupdate is het een leuk alternatief voor half-open tooltje wat geen checksum/hash check doet.
Mijn vragen zijn,
1. Is het echt nodig dat TESTSIGNING word gebruikt (als niemand het weet kan ik dit wel een keer met vmware testen)
2. Zitten er fouten in de totale werking, kan dat 'nep' Root Authority certificaat de deur open zetten voor exploits?
nou zag ik op half-open.com een patcher voor tcpip.sys staan (waarmee je dus meer dan 10 'half open' poortjes kan gebruiken, wat nogal belangrijk is voor BitTorrent/ P2P en overige server zaken)
Dus ik kijk ff goed, naar wat het ding precies doet... (met sysinternals procmon) en daar komt uit:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
| %systemroot%\System32\bcdedit.exe" /set TESTSIGNING ON certmgr.exe -del -all -s -r currentuser "mycerts" certmgr.exe -del -c -n "www.half-open.com" -s -r localmachine root makecert.exe -$ individual -r -pe -ss "mycerts" -n CN="www.half-open.com" "test.cer" certmgr.exe /add "test.cer" /s /r localMachine root signtool.exe sign /v /s "mycerts" /a "www.half-open.com" "%systemroot%\system32\drivers\tcpip.sys" signtool.exe verify /pa /v "%systemroot%\system32\drivers\tcpip.sys" |
(Dit alles.. nadat 1 byte in tcpip.sys is aangepast.)
Voor diegene die niet zien wat er precies gedaan word:
Er word een nieuw certificaat aangemaakt voor Windows wat in de certificate store onder "Thrusted Root Certificate Authorities" word geplaatst. Hier word het tcpip.sys bestand vervolgens ook mee gesigned, zodat Windows de driver wel laad.
Wat is nu je punt?
Nou, als dit met TCPIP.sys werkt, zal het ook wel met unsigned (oudere) drivers werken. Mocht je geen signed driver ergens voor kunnen vinden is dit mischien een (tijdelijke) oplossing.
Ik wil dit zelf in een unattended Vista installatie image gebruiken, vandaar dat ik niet het programmatje gebruik.
De tools die hierboven gebruikt worden zitten bij het tooltje van half-open.com, maar komen volgens mij uit 1 of andere SDK van MS. Ik heb nu een batchfile geschreven die in principe (met dus die tools + md5sums.exe +hexalter.exe) het half-open programmatje vervangt.
(VOLGENDE CODE IS NOG NIET AF, NIET GEBRUIKEN, MD5 KLOPT OOK NIET, NIET GEBRUIKEN)
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
| @echo off
FOR /F "tokens=*" %%R IN ('md5sums -u c:\windows\system32\drivers\tcpip.sys') DO SET curver=%%R
set ver18000=48a5b7570b9a866208ae217acdb72b26 *tcpip.sys
IF "%curver%" == "%ver18000%" (GOTO gotmatch) ELSE GOTO nomatch
:gotmatch
echo MD5 matches
echo Patching TCPIP.SYS
hexalter.exe tcpip.sys 0x0004C65D=255
%systemroot%\System32\bcdedit.exe" /set TESTSIGNING ON
certmgr.exe -del -all -s -r currentuser "mycerts"
certmgr.exe -del -c -n "www.half-open.com" -s -r localmachine root
makecert.exe -$ individual -r -pe -ss "mycerts" -n CN="www.half-open.com" "test.cer"
certmgr.exe /add "test.cer" /s /r localMachine root
signtool.exe sign /v /s "mycerts" /a "www.half-open.com" "%systemroot%\system32\drivers\tcpip.sys"
signtool.exe verify /pa /v "%systemroot%\system32\drivers\tcpip.sys"
GOTO end
:nomatch
echo no match
GOTO end
:end
echo exit |
Als dit batch filetje zo nu en dan word geupdate is het een leuk alternatief voor half-open tooltje wat geen checksum/hash check doet.
Mijn vragen zijn,
1. Is het echt nodig dat TESTSIGNING word gebruikt (als niemand het weet kan ik dit wel een keer met vmware testen)
2. Zitten er fouten in de totale werking, kan dat 'nep' Root Authority certificaat de deur open zetten voor exploits?
:strip_icc():strip_exif()/u/4167/bacall8.jpg?f=community)
