![[不看]](http://lf-web-assets.juejin.cn/obj/juejin-web/xitu_juejin_web/img/jj_emoji_102.b113c42.png)
。不过猜测可能和VMP选项或加密的函数有关,验证加VMP之前的驱动是可以正常签名的。所以最后只能逐个排除VMP选项和函数,最后结果是图中的保护选项都要去掉才可以签名成功![[衰]](http://lf-web-assets.juejin.cn/obj/juejin-web/xitu_juejin_web/img/jj_emoji_34.cf5b4d5.png)
。上次签名是一年前了,有这些选项也正常签名,不知道是不是微软更新了什么检测策略。
lsec
获得徽章 0
- 想到一种检测非指令hook(不是hook代码,是hook地址表或寄存器)的思路:hook中都有保存和恢复寄存器环境的操作,跳回原函数后,寄存器环境已经被恢复,栈顶之上会残留之前保存的寄存器数据。所以,在函数开始,对比栈顶之上的内容是否和当前寄存器的数据一样,如果一样,就说明有hook。这个对比操作由检测方案hook目标函数的代码实现。评论点赞
- 今天提交加了VMP的驱动给微软签名,总是失败,错误报告为:Scanning Notes {"code":"4001","details":{"errorInfo":"BlockingDetectionFound"},"innerError":null},一点用没有
![[不看]](//lf-web-assets.juejin.cn/obj/juejin-web/xitu_juejin_web/img/jj_emoji_102.b113c42.png)
。不过猜测可能和VMP选项或加密的函数有关,验证加VMP之前的驱动是可以正常签名的。所以最后只能逐个排除VMP选项和函数,最后结果是图中的保护选项都要去掉才可以签名成功![[衰]](//lf-web-assets.juejin.cn/obj/juejin-web/xitu_juejin_web/img/jj_emoji_34.cf5b4d5.png)
。上次签名是一年前了,有这些选项也正常签名,不知道是不是微软更新了什么检测策略。 展开评论点赞
