我们知道Windows10对内核代码驱动有着严格的要求,其中一条就是驱动必须被微软认可的EV证书签名,并且自1607版本开始,新驱动还需要被提交到Windows Hardware Portal来获得微软的签名。对于自签名证书签署的驱动,在不开启TestSigning的情况下,即使自签名证书被安装到了Windows证书库(certlm.msc
或certmgr.msc
)的受信任区域,驱动仍然无法加载。这说明Windows10针对内核模式代码有独立的可信证书库。
Custom Kernel Signers(CKS) 是Windows10(可能从1703开始)支持的一种产品策略。这个产品策略的全名是CodeIntegrity-AllowConfigurablePolicy-CustomKernelSigners
,它允许用户自定义内核代码证书,从而使得用户可以摆脱“驱动必须由微软签名”的强制性要求。值得注意的是,这个策略可能依赖另外一个产品策略CodeIntegrity-AllowConfigurablePolicy
。
在Windows10的所有版本中,CKS 默认是关闭的,除了 Windows10 中国政府特供版。
如果一个Windows10 PC满足下列条件:
-
产品策略
CodeIntegrity-AllowConfigurablePolicy-CustomKernelSigners
是开启的。 (也许CodeIntegrity-AllowConfigurablePolicy
也要开启。) -
SecureBoot也是开启的。
那么任何拥有该PC的UEFI Platform Key的人都可以自定义内核代码证书。这意味着,在不开启调试模式、不开启TestSigning、不关闭DSE的情况下,他可以使系统允许自签名驱动的加载。
如果你对Windows的产品策略感兴趣,你可以看这里。
开启这个feature确实非常麻烦。当然,如果你确实非常想要这个feature那就继续往下看吧。
-
你必须要有管理员权限。
-
你需要一个Windows10企业版或教育版的临时系统,这个系统用于执行
ConvertFrom-CIPolicy
命令。为什么?因为这个命令只能在Windows10企业版或教育版下运行。
-
你可以设置UEFI固件的Platform Key(PK)。
请跟随这里来创建证书,之后你应该能得到如下文件:
// 自签名根CA证书
localhost-root-ca.der
localhost-root-ca.pfx
// 自签名根CA颁发的内核代码证书
localhost-km.der
localhost-km.pfx
// 自签名根CA颁发的UEFI Platform Key证书
localhost-pk.der
localhost-pk.pfx
关于如何设置UEFI固件的PK为自建的PK,不同的主板有不同的方法,请读者自行解决。这里只介绍VMware虚拟机设置UEFI PK的方法。
假设你的虚拟机名为TestVM
,并且你的虚拟机开启了SecureBoot,那么在你的虚拟机目录下应该有TestVM.nvram
和TestVM.vmx
这两个文件。你可以通过如下办法设置TestVM
的PK:
-
关闭虚拟机。
-
删除
TestVM.nvram
。此举会使得虚拟机在下次启动时重置TestVM
的UEFI设置。 -
用文本编辑器打开
TestVM.vmx
,在文件后面加上uefi.allowAuthBypass = "TRUE" uefi.secureBoot.PKDefault.file0 = "localhost-pk.der"
第一句允许你在虚拟机UEFI设置中管理SecureBoot keys。
第二句指定虚拟机目录下
localhost-pk.der
文件为UEFI的默认PK。如果该文件不在虚拟机目录下,请将文件名替换为全路径。
完成后,启动TestVM
即可导入PK。
在Windows10企业版或教育版的临时系统中以管理员身份运行Powershell。
-
使用
New-CIPolicy
建立新的CI(Code Integerity) Policy。注意确保临时系统是干净的,不然新的Policy里可能会掺入恶意软件的自签名CA。New-CIPolicy -FilePath SiPolicy.xml -Level RootCertificate -ScanPath C:\windows\System32\
此举会扫描整个System32目录,可能会耗费一段时间。如果你不想扫描,你可以用我准备好的SiPolicy.xml文件。
-
针对新生成的
SiPolicy.xml
,使用Add-SignerRule
添加我们自己的内核代码证书localhost-km.der
。Add-SignerRule -FilePath .\SiPolicy.xml -CertificatePath .\localhost-km.der -Kernel
-
使用
ConvertFrom-CIPolicy
将SiPolicy.xml
序列化,得到二进制的SiPolicy.bin
ConvertFrom-CIPolicy -XmlFilePath .\SiPolicy.xml -BinaryFilePath .\SiPolicy.bin
至此构建内核代码CA规则就算完成。规则文件在被Platform Key签名后可以被用于任何版本的Windows10系统。后面的话不必使用Windows10企业版或教育版的系统。
-
对于规则文件
SiPolicy.bin
,我们得用UEFI的Platform Key签名。如果你有Windows SDK,你可以用signtool
签名。signtool sign /fd sha256 /p7co 1.3.6.1.4.1.311.79.1 /p7 . /f .\localhost-pk.pfx /p <localhost-pk.pfx的密码> SiPolicy.bin
注意在
/p
后填写localhost-pk.pfx
的密码。之后你会在当前目录得到
SiPolicy.bin.p7
文件。 -
将
SiPolicy.bin.p7
文件重名为SiPolicy.p7b
,并放到\EFI\Microsoft\Boot\
文件夹下。# 管理员权限开启Powershell mv .\SiPolicy.bin.p7 .\SiPolicy.p7b mountvol x: /s cp .\SiPolicy.p7b X:\EFI\Microsoft\Boot\
CKS 的开关保存在HKLM\SYSTEM\CurrentControlSet\Control\ProductOptions
键的ProductPolicy
值里。
尽管管理员可以修改这个值,但是这个值在被修改后会立即恢复原状。这是因为在内核初始化完后,这个值只是内核里一个变量的映射,只有通过ExUpdateLicenseData
这个内核API才能修改。而这个API只能在内核里被调用,或者通过NtQuerySystemInformation
的SystemPolicyInformation
功能号间接调用。很遗憾的是后者只有Protected Process才能 成功 调用。
所以我们只能在内核还尚未初始化完的时候修改 CKS 开关。有这个机会吗?有,Windows的Setup Mode可以给我们提供这个机会。
我已经写了一个程序来帮助我们打开 CKS,代码在EnableCustomKernelSigners
文件夹下。二进制程序可以在release中得到,或者你也可以自己编译。
二进制程序是EnableCKS.exe
,直接双击打开即可。打开后你应该能看到
[+] Succeeded to open "HKLM\SYSTEM\Setup".
[+] Succeeded to set "CmdLine" value.
[+] Succeeded to set "SetupType" value.
Reboot is required. Are you ready to reboot? [y/N]
输入y
直接重启,然后系统会进入Setup Mode,EnableCKS.exe
会自动启动并开启
CodeIntegrity-AllowConfigurablePolicy
CodeIntegrity-AllowConfigurablePolicy-CustomKernelSigners
这两个策略。最后会自动重启并重新进入到正常模式下。
重新进入正常模式后,你应该就可以加载由localhost-km.pfx
签署的驱动了。但是别高兴得太早,大约在10分钟之内,CKS 会被sppsvc
服务重置为关闭,除非你的Windows10是中国政府特供版。但不用担心,关闭还得等重启后才会实际生效。
所以我们得趁这个机会,加载自己编写的驱动,通过不断调用ExUpdateLicenseData
来持久化 CKS。
这个驱动也可以在release中得到,二进制文件为ckspdrv.sys
,相应代码在CustomKernelSignersPersistent
文件夹下。
这个驱动是没有签名的,你必须完成签名后才能加载。
signtool sign /fd sha256 /ac .\localhost-root-ca.der /f .\localhost-km.pfx /p <localhost-km.pfx的密码> /tr http://sha256timestamp.ws.symantec.com/sha256/timestamp ckspdrv.sys
注意在/p
后填写localhost-km.pfx
的密码。
然后将ckspdrv.sys
放入c:\windows\system32\drivers
下,管理员启动cmd
:
sc create ckspdrv binpath=%windir%\system32\drivers\ckspdrv.sys type=kernel start=auto error=normal
sc start ckspdrv
不出意外的话ckspdrv.sys
会成功加载,同时也证明我们构建的内核代码证书规则实际生效了。
之后你可以加载其他由localhost-km.pfx
签署的驱动。