Начинающий
Начинающий
- Статус
- Оффлайн
- Регистрация
- 13 Фев 2026
- Сообщения
- 130
- Реакции
- 4
Народ, тут наткнулся на интересную тему с китайского сектора, решил поделиться с нашими. Чел выложил просроченный сертификат для подписи драйверов, утверждая, что в Поднебесной это до сих пор работает для обхода первичной проверки запуска античита Tencent.
По сути, вопрос в том, что происходит с сертификатом после истечения срока. Если коротко: в теории, если драйвер был подписан и имел метку времени (timestamp) до момента истечения самого сертификата, Windows и большинство античитов всё ещё могут считать его валидным. Это стандартная лазейка для тех, кто пишет свои Kernel-драйвера, но не хочет тратить бешеные бабки на актуальные EV-серты.
Технические нюансы:
Сам не тестил, времени ковырять сейчас нет, да и проект на DMA сейчас приоритетнее. Если кто-то решит прогнать это через дебаггер или накинуть на свой тест-драйвер — отпишитесь, есть ли смысл заморачиваться или это очередной фейк для набива просмотров.
Кто шарит в теме подписи драйверов — просветите, юзаете сейчас просрочку или перешли на полноценный ev-code-signing через официалов? Поделитесь опытом, если кто-то уже пытался пропихнуть кастомный маппер под такие серты.
По сути, вопрос в том, что происходит с сертификатом после истечения срока. Если коротко: в теории, если драйвер был подписан и имел метку времени (timestamp) до момента истечения самого сертификата, Windows и большинство античитов всё ещё могут считать его валидным. Это стандартная лазейка для тех, кто пишет свои Kernel-драйвера, но не хочет тратить бешеные бабки на актуальные EV-серты.
Технические нюансы:
- Валидность: Античит смотрит не только на дату, но и на цепочку доверия. Если серт не отозван (revoked), то при наличии корректного TSA (Timestamp Authority) подпись остается легитимной для системы.
- Tencent bypass: У них проверка по реестру и загрузке ядра довольно специфичная, так что на других АЧ (вроде EAC или BattlEye) этот метод может не взлететь из-за более жестких проверок CRL/OCSP.
- Риски: Юзать такое на основе — чистое самоубийство. Если драйвер палится по сигнатуре или ведет себя подозрительно в памяти, никакой серт не спасет от пермача по железу.
Сам не тестил, времени ковырять сейчас нет, да и проект на DMA сейчас приоритетнее. Если кто-то решит прогнать это через дебаггер или накинуть на свой тест-драйвер — отпишитесь, есть ли смысл заморачиваться или это очередной фейк для набива просмотров.
Кто шарит в теме подписи драйверов — просветите, юзаете сейчас просрочку или перешли на полноценный ev-code-signing через официалов? Поделитесь опытом, если кто-то уже пытался пропихнуть кастомный маппер под такие серты.
