Windows: достучаться до железа

Саундтреки

Из фильма В центре вниманияИз фильма Ван ХельсингИз сериала Дневники ВампираИз фильма Скауты против зомбииз фильмов ‘Миссия невыполнима’Из фильма Голодные игры: Сойка-пересмешница. Часть 2OST ‘Свет в океане’OST «Большой и добрый великан»из фильма ‘Новогодний корпоратив’из фильма ‘Список Шиндлера’ OST ‘Перевозчик’Из фильма Книга джунглейиз сериала ‘Метод’Из фильма ТелохранительИз сериала Изменыиз фильма Мистериум. Тьма в бутылкеиз фильма ‘Пассажиры’из фильма ТишинаИз сериала Кухня. 6 сезониз фильма ‘Расплата’ Из фильма Человек-муравейиз фильма ПриглашениеИз фильма Бегущий в лабиринте 2из фильма ‘Молот’из фильма ‘Инкарнация’Из фильма Савва. Сердце воинаИз сериала Легко ли быть молодымиз сериала ‘Ольга’Из сериала Хроники ШаннарыИз фильма Самый лучший деньИз фильма Соседи. На тропе войныМузыка из сериала «Остров»Из фильма ЙоганутыеИз фильма ПреступникИз сериала СверхестественноеИз сериала Сладкая жизньИз фильма Голограмма для короляИз фильма Первый мститель: ПротивостояниеИз фильма КостиИз фильма Любовь не по размеруOST ‘Глубоководный горизонт’Из фильма Перепискаиз фильма ‘Призрачная красота’Место встречи изменить нельзяOST «Гений»из фильма ‘Красотка’Из фильма Алиса в ЗазеркальеИз фильма 1+1 (Неприкасаемые)Из фильма До встречи с тобойиз фильма ‘Скрытые фигуры’из фильма Призывиз сериала ‘Мир Дикого Запада’из игр серии ‘Bioshock’ Музыка из аниме «Темный дворецкий»из фильма ‘Американская пастораль’Из фильма Тарзан. ЛегендаИз фильма Красавица и чудовище ‘Искусственный интеллект. Доступ неограничен»Люди в черном 3’из фильма ‘Планетариум’Из фильма ПрогулкаИз сериала ЧужестранкаИз сериала Элементарноиз сериала ‘Обратная сторона Луны’Из фильма ВаркрафтИз фильма Громче, чем бомбыиз мультфильма ‘Зверопой’Из фильма БруклинИз фильма Игра на понижениеИз фильма Зачарованнаяиз фильма РазрушениеOST «Полный расколбас»OST «Свободный штат Джонса»OST И гаснет светИз сериала СолдатыИз сериала Крыша мираИз фильма Неоновый демонИз фильма Москва никогда не спитИз фильма Джейн берет ружьеИз фильма Стражи галактикииз фильма ‘Sos, дед мороз или все сбудется’OST ‘Дом странных детей Мисс Перегрин’Из игры Contact WarsИз Фильма АмелиИз фильма Иллюзия обмана 2OST Ледниковый период 5: Столкновение неизбежноИз фильма Из тьмыИз фильма Колония Дигнидадиз фильма ‘Страна чудес’Музыка из сериала ‘Цвет черёмухи’Из фильма Образцовый самец 2из фильмов про Гарри Поттера Из фильма Дивергент, глава 3: За стеной из мультфильма ‘Монстр в Париже’из мультфильма ‘Аисты’Из фильма КоробкаИз фильма СомнияИз сериала Ходячие мертвецыИз фильма ВыборИз сериала Королек — птичка певчаяДень независимости 2: ВозрождениеИз сериала Великолепный векиз фильма ‘Полтора шпиона’из фильма Светская жизньИз сериала Острые козырьки

Прокси-драйвера

В итоге получается обходной манёвр – всё, что программе запрещено делать, разработчик вынес в драйвер, программа устанавливает драйвер в систему и уже через него программа делает, что хочет! Более того – выяснилось, что RW Everything далеко не единственная программа, которая так делает. Таких программ не просто много, они буквально повсюду. У меня возникло ощущение, что каждый уважающий себя производитель железа имеет подобный драйвер:

  • Софт для обновления BIOS (Asrock, Gigabyte, HP, Dell, AMI, Intel, Insyde…)

  • Софт для разгона и конфигурации железа (AMD, Intel, ASUS, ASRock, Gigabyte)

  • Софт для просмотра сведений о железе (CPU-Z, GPU-Z, AIDA64)

  • Софт для обновления PCI устройств (Nvidia, Asmedia)

Во многих из них практически та же самая модель поведения – драйвер получает команды по типу «считай-ка вот этот физический адрес», а основная логика – в пользовательском софте. Ниже в табличке я собрал некоторые прокси-драйвера и их возможности:

Результаты краткого анализа пары десятков драйверов. Могут быть ошибки!

Небольшая легенда:

  • Mem – чтение / запись физической памяти

  • PCI – чтение / запись PCI Configuration Space

  • I/O – чтение / запись портов I/O

  • Alloc – аллокация и освобождение физической памяти

  • Map – прямая трансляция физического адреса в вирутальный

  • MSR – чтение / запись x86 MSR (Model Specific Register)

Жёлтым обозначены возможности, которых явно нет, но их можно использовать через другие (чтение или маппинг памяти). Мой фаворит из этого списка – AsrDrv101 от ASRock. Он устроен наиболее просто и обладает просто огромным списком возможностей, включая даже функцию поиска шаблона по физической памяти (!!)

Самое нехорошее в такой ситуации — если подобный драйвер остаётся запущенным на ПК пользователя, для обращения к нему не нужно даже прав администратора! То есть любая программа с правами пользователя сможет читать и писать физическую память — хоть пароли красть, хоть ядро пропатчить. Именно на это уже ругались другие исследователи. Представьте, что висящая в фоне софтина, красиво моргающая светодиодиками на матплате, открывает доступ ко всей вашей системе. Или вирусы намеренно ставят подобный драйвер, чтобы закрепиться в системе. Впрочем, любой мощный инструмент можно в нехороших целях использовать.

WinDirStat анализ разделов наших дисков

Добрый день, друзья. Большинство пользователей довольно часто устанавливают различные программы, книги, фильмы, аудио файлы и прочее, на свой компьютер, а потом о многих из них с успехом забывают. Причем, папочка «загрузки» расположена именно на диске С (хотя большинство браузеров позволяет выбрать её самостоятельно).

Люди закачивают в эту папку много файлов, а потом их просто копируют. Создавая при этом дубли файлов или программ, а про оригинал, впоследствии забывают. Со временем, системный диск сильно захламляется и компьютер начинает медленно работать.

WinDirStat – является бесплатной программой, как раз для просмотра анализа вашего диска, на предмет его захламлённости различными файлами (причем, не только системного).

Другими словами, WinDirStat показывает, сколько места определенная программа занимает на диске, какое количество имеет парок, файлов и прочее. С помощью неё вы можете найти клоны ваших программ и удалить их. Можете мне поверить, в клонах программ на одном компьютере нет никакой необходимости.

Под клонами, я подразумеваю не только копии программ, но и другие версии этих же программ. Более старые или новые. Программы сообщают нам о выходе своей новой версии. Человек скачивает её, обновляет (устанавливает), а старая версия остаётся. Вот вам и клон!

Они только засоряют диск. Да и лишние программы вам не нужны. Не стоит забивать ПК лишней музыкой. Особенно видео клипами! Тем более, если у вас приличная скорость интернета! Да и фильмами забивать компьютер не нужно, если есть возможность посмотреть их Он-Лайн.

Я ещё раньше говорил, да и сейчас скажу – любой диск на компьютере не должен быть забит более чем на 80%. Я имею в виду не только системный диск, а все, от внутреннего, до внешнего винчестера. Иначе, ему будет трудно работать.

WinDirStat в этом случае отлично приходит к нам на помощь, так как показывает, в каком состоянии находится диск или его определённый раздел. Причем, для наглядности, показывает данные анализа, как в виде «Проводника», так и в графическом виде, в образе многоцветных прямоугольников.

Нажав на любой из них, вы узнаете, что это за файл (программа), какой размер он занимает и, при желании, можете его удалить (что я иногда и делаю). В обычном «Проводнике» Windows в разборе компьютерного хлама бывает довольно трудно разобраться. Программа анализа жесткого диска делает эту задачу легче и нагляднее.

WinDirStat включает в себя многие языки, в том числе и русский. Отсюда, вы без проблем сможете разобраться с её интерфейсом.

WinDirStat скачать на русском

Графические интерфейсы и расширения для DOS Править

Логотип первых Windows

Первые версии Windows не были полноценными операционными системами, а являлись надстройками к операционной системе DOS и были по сути многофункциональным расширением, добавляя поддержку новых режимов работы процессора, поддержку многозадачности, обеспечивая стандартизациюинтерфейсов аппаратного обеспечения и единообразие для пользовательских интерфейсов программ. Предоставляли встроенные средства GDI и USER для создания графического интерфейса. Первые версии Windows вообще состояли из трёх модулей — KERNEL, GDI и USER. Первый из них предоставлял вызовы управления памятью, запуском .EXE-файлов и загрузкой .DLL-файлов, второй — графику, третий — окна. Они работали с процессорами начиная с Intel 8086.

  1. Windows 1.0 (1985)
  2. Windows 2.0 (1987)
  3. Windows 2.1 (Windows 386, 1987) — в системе появилась возможность запуска DOS-приложений в графических окнах, причём каждому приложению предоставлялись полные 640 Кб памяти. Полная поддержка процессора 80286. Появилась поддержка процессоров 80386.
  4. Windows 3.0 (1990) — улучшена поддержка процессоров 80386 и защищённого режима.
  5. Windows 3.1 (1992) — серьёзно переработанная Windows 3.0; устранены UAE (фатальные ошибки прикладных программ), добавлен механизм OLE, печать в режиме WYSIWYG («что видите, то и получите»), шрифты TrueType, изменён диспетчер файлов, добавлены мультимедийные функции.
  6. Windows для рабочих групп (Windows for Workgroups) 3.1/3.11 — первая версия ОС семейства с поддержкой локальных сетей. В системе также испытывались отдельные усовершенствования ядра, применённые позднее в Windows 95.

Как происходит заражение вирусом WINDIR.EXE?

Моя подружка сидит в декрете, и постоянно ищет способы пассивного заработка. Ее активность в интернете просто не поддается описанию — читает, скачивает, устанавливает, пробует все подряд.

В общем, как вы понимаете, безопасности уделяет минимум внимания, все программы инсталлирует по-умолчанию, и не всегда задумывается о том, осталось ли после таких экспериментов на компьютере что-то, наличие чего было бы совсем нежелательным. Короче, я не был удивлен, когда вчера она пожаловалась мне, что ее комп ужасно тормозит и живет своей жизнью.

Так что это за зловред такой — WINDIR.EXE? Это криптомайнер, который использует вашу машину в качестве генератора криптовалюты в пользу злоумышленника.

WinDirStat как работать с программой

Устанавливает софт. Делаем это на английском. Причем, в одной из страниц установки проверьте наличие русского языка, прочие галочки можно снять.

СОВЕТУЮ ПОЧИТАТЬ: — Качественная дефрагментация диска

Запускаем программу анализа диска. При этом, программа сразу определяет, сколько процентов на каждом из ваших дисков занято и сколько это в Гб.

Далее, нам нужно выбрать, все мы ходит проверить диски, или только один. Для выбора нужного, жмём «Индивидуальные диски». Выбираем системный С (его состояние знать более необходимо). У меня загруженность диска С — 40% довольно приличный результат! Много места для работы системы!

WinDirStat начинает проводить анализ. Данный анализ похож чем-то на игру. Появляются смайлики с большими ртами и как бы заглатывают файлы.

По окончании анализа диска, нам покажется информация о нём. Причем, в довольно красочном виде. Окошко WinDirStat разделена на три части: — Вверху два окна, и одно внизу.

Причем, верхнее слева похоже на «Проводник». В верхнем окне справа нам дано описание файла, его расширение и объём. В низу, в графической форме, дано соотношение файла, по сравнению с остальными программами.

Можно в Проводнике программы кликнуть по любой папке. В нижней части окна она выделится белой рамкой. К примеру, я выберу Microsoft Office. Мы видим место, где Оффис находится. Какой объем занимает – 1.4 Гб и какой процент 37.8%.

Причем, имеется в виду не общий процент диска С, а папки, куда входит программа Office. У меня это папка Program files. Красной рамкой я обвёл всё папку Program files в графическом редакторе.

37.8% — это довольно большой процент для этой папки. Её значительная часть. Плохо то, что Office автоматически устанавливается именно на диск С, т.е., вам не дают выбор, куда установить программу.

Для анализа другого диска, выберем в меню папку «Открыть».

Выбираем «Индивидуальные диски» и нужный нам диск. Также его просматриваем.

Кроме прочего, можно просмотреть, сколько файлов с определённым расширением имеет данный диск. К примеру, mp4. У меня это 18.7% или 25, 2 Гб.

Также, можно удалить лишний файл или пакет программ прямо из окна WinDirStat. Для этого, в графическом редакторе выбираем нужный файл, в меню выбираем значок красный крестик «Удалить» и удаляем программу.

Что интересно, программа дважды нас переспросит – действительно ли мы уверены в своём решении?

В общем, советую более подробно через WinDirStat просканировать все ваши жесткие диски и лишний хлам просто удалить. Иначе вы в нём можете сильно запутаться! Да и работать с ПК, где всё разложено по полочкам, намного удобнее. Успехов!

Как узнать, чем забит жесткий диск [Анализ!]

WinDirStat

Совсем небольшая утилита (менее 1 МБ), способная за считанные минуты показать вам какие папки и файлы отнимают больше всего места. Причем, все это выполнено очень наглядно, и поиск «виновника» происходит очень быстро!

Ниже покажу на собственном примере, как нашел файл, который «отнимал» 12 ГБ!

И так, после установки и запуска утилиты просто выберите диск(и), который нужно проанализировать, нажмите OK. См. скриншот ниже.

Выбор диска (доступен также системный диск)

Далее подождите окончания сканирования (обычно 2-5 минут на 1-2 ТБ диск, зависит от количества и размера файлов, на нем расположенных) .

После чего вы увидите цветную диаграмму: каждый «прямоугольник» — это файл, размер прямоугольника рисуется относительно размера файла. Т.е. благодаря такой работу — вы сразу же находите наиболее крупные файлы на диске и можете приступить к их удалению.

Анализ моего диска / Кликабельно

Например, у меня на диске занимал 12 ГБ места файл pagefile.sys (см. скрин выше). Для тех, у кого проблема с этим же файлом, скажу, что это файл подкачки. Используется он системой автоматически, но его можно ограничить, либо перенести на другой диск (как это сделать — рассказано в одной из моих статей, ссылку привожу ниже).

Недостаточно места на диске? Удаляем весь мусор и настраиваем системный файлы (в т.ч. pagefile.sys) всего за 5 шагов — https://ocomp.info/nedostatochno-mesta-na-diske.html

TreeSize

TreeSize — главное окно программы

Эта программа, в отличие от предыдущей, не строит диаграмм, однако она удобно сортирует папки согласно их размеру. Причем, напротив каждой из папок «горит» определенное значение в процентах, относительно ее размера (весь диск — это 100%).

Отмечу еще одну удобную штуку: из ее окна можно открыть любую из папок (файлов) в проводнике. TreeSize «видит» все файлы и папки на диске (в т.ч. скрытые и системные), так что будьте осторожнее с удалением всего и вся.

Прим. : есть возможность для импортирования результатов анализа в файл HTML.

Scanner

Анализ занятого места на HDD с помощью Scanner

Аналогичная утилита, правда, ее размер еще меньше . После запуска, утилита быстра просканирует диск и покажет вам круговую диаграмму: наводясь мышкой на отдельные ее участки, вы сможете найти все папки и файлы, которые стали занимать слишком много места.

Обратите внимание, что слева в меню программы вы можете выбрать любой из жестких дисков, которые видит ваша ОС Windows. SpaceSniffer

SpaceSniffer

Примечание : программа не нуждается в установке.

Главное окно программы SpaceSniffer

От других аналогичных программ SpaceSniffer отличается весьма оригинальным интерфейсом и немного отличным подходом к делу (возможно, благодаря этому пользуется спросом).

При первом запуске, программа покажет вам все диски, и после вашего выбора одного из них — приступит к сканированию. После чего, пред вами предстанет наглядная схема: перемещаясь по ней вы быстро найдете, что «оттяпало» лишнее месте на диске (см. скрин выше).

Также программа позволяет прямо из окна удалять или перемещать файлы, производить поиск файлов по определенному фильтру (например, по их расширению).

В общем и целом, программа заслуживает высокой оценки, рекомендую к использованию!

DiskView

Главное окно DiskView

Эта программа отличается от остальных тем, что работает даже на относительно старых ОС Windows NT 4, 2000, XP (новые Windows 7, 8, 10 — разумеется поддерживаются).

В остальном работа аналогична: строится схема диска, воспользовавшись которой, вы можете легко определить какой файл у вас занимает те или иные кластеры.

Программа бесплатна, русский не поддерживает.

JDiskReport

Поддерживаются: Windows, Linux, Mac OS X

JDiskReport — скрин главного окна программы

Отличная программа для анализа HDD. Позволяет за считанные минуты найти потерянное место! Благодаря архи-удобной круговой диаграмме сразу же видно какие папки заняли все место.

Отмечу, что, войдя в самую большую папку: диаграмма перестраивается, и вы снова видите какие файлы/папки уже в ней занимают место, и т.д.

Кстати, в программе есть топ 50 — покажет все самые большие файлы на диске!

Spyglass

Сайт разработчика: http://clockworkengine.com

SPYGLASS — главное окно программы

Простая бесплатная программа, позволяющая быстро строить диаграммы на основе занятого места на HDD. Отмечу, что Spyglass включает в себя также «локатор», обнаруживающий полные дубликаты файлов.

Из окна программы вы можете открыть любую папку или файл, или даже отправить их в корзину (не получится так только с системными файлами).

Дополнения по теме будут весьма кстати!

No PAD file … and none to come

After getting another request to create and offer a PAD file, I looked into the process again. There’s an online generator software at this address. I was using that to enter my data. When I was done filling in the stuff that was relevant to a FLOSS program like WinDirStat, I ended up getting a list of error messages.

Here’s the start of the list:

So I need to give my postal address? No thanks. Post box? Yeah, who pays for that?

This is geared towards shareware and freeware programs, no doubt. But what took my breath away was this error message:

I have to give a non-HTTPS site, because shareware is so 1990s and the PAD format is as well?

Conclusion: there’s no PAD file for WinDirStat and there won’t be. Sorry, folks.

// Oliver

Итак, приступим:

Шаг 1. Установите UnHackMe (1 минута).

  1. Скачали софт, желательно последней версии. И не надо искать на всяких развалах, вполне возможно там вы нарветесь на пиратскую версию с вшитым очередным мусором. Оно вам надо? Идите на сайт производителя, тем более там есть бесплатный триал. Запустите установку программы.

Затем следует принять лицензионное соглашение.

И наконец указать папку для установки. На этом процесс инсталляции можно считать завершенным.

  1. Итак, запускаем UnHackMe. Для начала рекомендую убедиться, что опция защиты от майнеров включена.

Затем запускаем проверку вашего компьютера. Можно использовать быструю, за 1 минуту. Но если время есть — рекомендую расширенное онлайн тестирование с использованием VirusTotal — это повысит вероятность обнаружения не только вируса WINDIR.EXE, но и остальной нечисти.

Мы увидим как начался процесс сканирования.

Шаг 3. Удалите вредоносные программы (3 минуты).

  1. Обнаруживаем что-то на очередном этапе. UnHackMe отличается тем, что показывает вообще все, и очень плохое, и подозрительное, и даже хорошее. Не будьте обезьяной с гранатой! Не уверены в объектах из разряда ‘подозрительный’ или ‘нейтральный’ — не трогайте их. А вот в опасное лучше поверить. Итак, нашли опасный элемент, он будет подсвечен красным. Что делаем, как думаете? Правильно — убить! Ну или в английской версии — Remove Checked. В общем, жмем красную кнопку.

После этого вам возможно будет предложено подтверждение. И приглашение закрыть все браузеры. Стоит прислушаться, это поможет.
В случае, если понадобится удалить файл, или каталог, пожалуй лучше использовать опцию удаления в безопасном режиме. Да, понадобится перезагрузка, но это быстрее, чем начинать все сначала, поверьте.

Ну и в конце вы увидите результаты сканирования и лечения.

Итак, как вы наверное заметили, автоматизированное лечение значительно быстрее и проще! Лично у меня избавление от вируса WINDIR.EXE заняло 5 минут! Поэтому я настоятельно рекомендую использовать UnHackMe для лечения вашего компьютера от любых нежелательных программ!

PCI Express Config Space

Немного отвлечёмся на один нюанс про PCIE Config Space. С этим адресным пространством не всё так просто — со времён шины PCI для доступа к её конфигурационному пространству используется метод с использованием I/O портов 0xCF8 / 0xCFC. Он применён и в нашем драйвере AsrDrv101:

Чтение и запись PCI Config Space

Но через этот метод доступны только 0x100 байт конфигурационного пространства, в то время как в стандарте PCI Express размер Config Space у устройств может быть достигать 0x1000 байт! И полноценно вычитать их можно только обращением к PCI Extended Config Space, которая замаплена где-то в адресном пространстве, обычно чуть пониже BIOS:

Адресное пространство современного x86 компа, 0-4 ГБ

На чипсетах Intel (ну, в их большинстве) указатель на эту область адресного пространства можно взять из конфига PCI устройства 0:0:0 по смещению 0x60, подробнее описано в даташитах:

У AMD я такого не нашёл (наверняка есть, плохо искал), но сам факт неуниверсальности пнул меня в сторону поиска другого решения. Погуглив стандарты, я обнаружил, что указатель на эту область передаётся системе через ACPI таблицу MCFG

А сами ACPI таблицы можно найти через запись RSDP, поискав её сигнатуру по адресам 0xE0000-0xFFFFF, а затем распарсив табличку RSDT. Отлично, здесь нам и пригодится функционал поиска по памяти. Получаем нечто такое:

На всякий случай оставляем вариант для чипсетов Intel

Всё, теперь осталось при необходимости заменить чтение PCI Express Config Space через драйвер на чтение через память. Теперь-то разгуляемся!

Читаем BIOS

В результате получаем:

Вот так в 10 строчек мы считали BIOS

Но подождите-ка, получилось всего 6 мегабайт, а должно быть 4 или 8 что-то не сходится. А вот так, у чипсетов Intel в адресное пространство мапится не вся флешка BIOS, а только один её регион. И чтобы считать всё остальное, нужно уже использовать SPI интерфейс.

Не беда, лезем в даташит, выясняем, что SPI интерфейс висит на PCI Express:

И для его использования, нужно взаимодействовать с регистрами в BAR0 MMIO по алгоритму:

  1. Задать адрес для чтения в BIOS_FADDR

  2. Задать параметры команды в BIOS_HSFTS_CTL

  3. Прочитать данные из BIOS_FDATA

Пилим новый скрипт для чтения через чипсет:

Исполняем и вуаля — в 20 строчек кода считаны все 8 МБ флешки BIOS! (нюанс — в зависимости от настроек, регион ME может быть недоступен для чтения).

Точно так же можно делать всё, что заблагорассудится — делать снифер USB пакетов, посылать произвольные ATA команды диску, повышать частоту процессора и переключать видеокарты. И это всё — с обычными правами администратора:

Немного помучившись, получаем ответ от SSD на команду идентификации

А если написать свой драйвер?

Некоторые из вас наверняка уже подумали — зачем так изворачиваться, реверсить чужие драйвера, если можно написать свой? И я о таком думал. Более того, есть Open-Source проект chipsec, в котором подобный драйвер уже разработан.

Зайдя на страницу с кодом драйвера, вы сразу наткнетесь на предупреждение:

В этом предупреждении как раз и описываются все опасности, о которых я рассказывал в начале статьи — инструмент мощный и опасный, следует использовать только в Windows режиме Test Mode, и ни в коем случае не подписывать. Да, без специальной подписи на обычной системе просто так запустить драйвер не получится. Поэтому в примере выше мы и использовали заранее подписанный драйвер от ASRock.

Если кто сильно захочет подписать собственный драйвер — понадобится регистрировать собственную компанию и платить Microsoft. Насколько я нагуглил, физическим лицам такое развлечение недоступно.

Точнее я так думал, до вот этой статьи, глаз зацепился за крайне интересный абзац:

Драйвер из статьи действительно подписан, и действительно неким китайским ключом:

Как оказалось, сведения о подписи можно просто посмотреть в свойствах.. А я в HEX изучал

Немного поиска этого имени в гугле, и я натыкаюсь на вот эту ссылку, откуда узнаю, что:

  • есть давно утёкшие и отозванные ключи для подписи драйверов

  • если ими подписать драйвер — он прекрасно принимается системой

  • малварщики по всему миру используют это для создания вирусни

Основная загвоздка — заставить майкрософтский SignTool подписать драйвер истёкшим ключом, но для этого даже нашёлся проект на GitHub. Более того, я нашёл даже проект на GitHub для другой утилиты подписи драйверов от TrustAsia, с помощью которого можно подставить для подписи вообще любую дату.

Несколько минут мучений с гугл-переводчиком на телефоне, и мне удалось разобраться в этой утилите и подписать драйвер одним из утекших ключей (который довольно легко отыскался в китайском поисковике):

И в самом деле, китайская азбука

И точно так же, как и AsrDrv101, драйвер удалось без проблем запустить!

А вот и наш драйвер запустился

Из чего делаю вывод, что старая идея с написанием своего драйвера вполне себе годная. Как раз не хватает функции маппинга памяти. Но да ладно, оставлю как TODO.

Оцените статью
Рейтинг автора
5
Материал подготовил
Андрей Измаилов
Наш эксперт
Написано статей
116
Добавить комментарий