无忧启动论坛

标题: 全版本drvinst.exe文件5分钟跳过驱动签名验证修改指南 [打印本页]

作者: slore 时间: 2018-4-6 15:21
标题: 全版本drvinst.exe文件5分钟跳过驱动签名验证修改指南
本帖最后由 slore 于 2018-6-23 12:11 编辑

破解方法：
1.通过微软的符号服务器，找到关键调用函数的位置
2.UE修改跳转语句

我精简了最必要的组件打包为windisam工具。

z01.zip解压后改名z01

windisam.z01.zip (2.5 MB, 下载次数: 804)

windisam.zip (1.75 MB, 下载次数: 913)

1分钟半破解GIF演示:

5分钟破解步骤：
1.解压到任意目录（最好简单没空格纯英文例如D:\windisam）

2.把drvinst.exe放到相同目录

3.拖动drvinst.exe文件到symbol_dl.bat

1，2秒左右，drvinst.pdb文件将生成一个Symbols文件夹

4.剪切drvinst.pdb到windisam根目录

5.拖动drivinst.exe到wdisasm.bat

1，2秒左右，将得到drvinst.asm反汇编文件

6.用记事本打开drvinst.asm文件，查找__imp_pSetupValidateDriverPackage
补充:有人问32位的，好像32位直接改注册表可以用不需要，既然问了就看了下。
32位的函数名是__imp__pSetupValidateDriverPackage
多了一个下划线，所以通用的话，用pSetupValidateDriverPackage就可以了。

000000014000898F: FF 15 E3 4B 01 00 call qword ptr [__imp_pSetupValidateDriverPackage]
0000000140008995: 8B F8 mov edi,eax
0000000140008997: 85 C0 test eax,eax
0000000140008999: 75 09 jne 00000001400089A4

复制代码

调用之后，会有一个test比较，然后是个跳转，处理这个跳转即可。

7. UE打开drvinst.exe，搜索字节序，改之。
8B F8 85 C0 75 09 41 8B
改成如下：
33 C0 8B F8 90 90 41 8B

8. 完。

实际操作非常简单，我就不图文了。

为什么这么处理这个跳转的详细说明，请看。以后可以照猫画虎处理RS5，RS6，估计，也许。

==============================================================================================
一般代码是这样的:
if (SetupValidateDriverPackage() != 0) {
//签名不正确
xxxxxxxx
return 1
} else {
//签名正确
return 0
}

或者
if (SetupValidateDriverPackage() == 0) {
//签名正确
xxxxxxxx
return 0
} else {
  //签名不正确
  写错误日志
  return 1
}

17133为例:
  000000014000898F: FF 15 E3 4B 01 00  call       qword ptr [__imp_pSetupValidateDriverPackage]
  0000000140008995: 8B F8             mov       edi,eax
  0000000140008997: 85 C0             test       eax,eax
  0000000140008999: 75 09             jne       00000001400089A4    <- 返回值不为0跳转到00000001400089A4
  000000014000899B: 41 8B 07          mov       eax,dword ptr [r15]
  000000014000899E: 41 89 46 10       mov       dword ptr [r14+10h],eax
  00000001400089A2: EB 3B             jmp       00000001400089DF  <--- 正常处理
  00000001400089A4: BA 20 00 00 00    mov       edx,20h
  00000001400089A9: 89 44 24 20       mov       dword ptr [rsp+20h],eax
  00000001400089AD: 4C 8D 0D 3C 65 01  lea       r9,[??_C@_0DL@BAACEHAK@Driver?5package?5failed?5signature?5@]
                  00
  00000001400089B4: 48 8B CD          mov       rcx,rbp
  00000001400089B7: 44 8D 42 E1       lea       r8d,[rdx-1Fh]

jne跳到00000001400089A4后面是failed，那么就是出错处理，不要让它跳，75改74，签名认证成功跳转到failed，签名不正确不跳转，继续走正常处理。
或者75 09改成90 90，这个判断跳转不执行，不管驱动签名成功与否，都向下继续走000000014000899B，不知道PE会不有正常正常的驱动签名的文件，
有的话，建议用90 90吧。另外这里主要是找到关键跳转的位置的方法，汇编怎么改好，我不太懂，可以参考旧版本的修改。。。
我改的比较暴力，强跳，也有改test eax,eax比较语句的让其判断一直成立。

补充1:
某老版本的修正如下：
8B F0 85 C0 75 09 41 8B
改为
33 C0 8B F0 90 90 41 8B

17133对应:
8B F8 85 C0 75 09 41 8B
可能改成如下：
33 C0 8B F8 90 90 41 8B

我个人觉得90 90就够了，这个先33 C0，然后把去掉了85 C0 test eax,eax的话，保证eax和正确签名的时候一样为0（也就是签名验证函数返回0，没出错）。

000000014000898F: FF 15 E3 4B 01 00 call qword ptr [__imp_pSetupValidateDriverPackage]
0000000140008995: 33 C0 xor eax,eax <- 异或运算，eax自己和自己异或结果为0
0000000140008997: 8B F8 mov edi,eax <- 把0放到edi上，和驱动签名正常时一样，放入0
0000000140008999: 90 nop <- 没必要判断了，90之，直接往下走，不过eax已经是0了，保持原来的jne 00000001400089A4跳转好像也可以(75 09)，跳转条件不成立不会跳的
000000014000899A: 90 nop
000000014000899B: 41 8B 07 mov eax,dword ptr [r15]
000000014000899E: 41 89 46 10 mov dword ptr [r14+10h],eax
00000001400089A2: EB 3B jmp 00000001400089DF

复制代码

补充2(继续往下走):
  000000014000899B: 41 8B 07          mov       eax,dword ptr [r15]                <-r15的值保存到eax上
  000000014000899E: 41 89 46 10       mov       dword ptr [r14+10h],eax       <-eax保存到[r14+10h]上
  00000001400089A2: EB 3B             jmp       00000001400089DF
...
  00000001400089DF: 4C 8D 5C 24 60    lea       r11,[rsp+60h]
  00000001400089E4: 8B C7             mov       eax,edi       <- edi保存到eax，然后后面就ret了，那么这个函数的返回值是edi，所以上面光90 90的话，只是不写出错日志log，上层函数还会因为返回值是1失败。
  00000001400089E6: 49 8B 5B 30       mov       rbx,qword ptr [r11+30h]
  00000001400089EA: 49 8B 6B 40       mov       rbp,qword ptr [r11+40h]
  00000001400089EE: 49 8B E3          mov       rsp,r11
  00000001400089F1: 41 5F             pop       r15
  00000001400089F3: 41 5E             pop       r14
  00000001400089F5: 41 5C             pop       r12
  00000001400089F7: 5F                pop       rdi
  00000001400089F8: 5E                pop       rsi
  00000001400089F9: C3                ret

33 C0是干这个事的，还是要这样改才对。

还原的代码为：

ret = pSetupValidateDriverPackage(...);
if ( ret !=0 )
SetupWriteTextLog(v9, 0x20u, 1u, "Driver package failed signature validation. Error = 0x%08X");
else
*(_DWORD *)(var1 + 16) = *(_DWORD *)(var2 + 2104);
return (unsigned int)ret;
}

复制代码

只改90 90的话，没有if (ret!=0)的判断跳转到写日志，但是返回值是1，主要看上层函数管不管这个值，如果管还可能失败，还看不到日志(Driver package failed signature validation. )

ret = pSetupValidateDriverPackage(...);
*(_DWORD *)(var1 + 16) = *(_DWORD *)(var2 + 2104);
return (unsigned int)ret;

复制代码

33 C0 .. 90 90的话，和正常签名效果一样，保存*(_DWORD *)(var1 + 16)且返回值为0

ret = pSetupValidateDriverPackage(...);
ret = ret xor ret; //ret = 0
*(_DWORD *)(var1 + 16) = *(_DWORD *)(var2 + 2104);
return (unsigned int)ret;

复制代码

作者: 红毛樱木 时间: 2018-4-6 16:10
老大厉害，马上下载使用。

作者: 邪恶海盗 时间: 2018-4-6 17:21
我X,介于牛A与牛C间的淫呐...

作者: sysop 时间: 2018-4-6 18:29
虽然看不懂但是我知道楼主很强楼上描述确切

Mozilla/5.0 (Wayland; Linux x86_64; rv:60.0) Gecko/20100101 Firefox/60.0 (zh-CN)
——2018/4/6 下午6:29:55

作者: 2012zhd 时间: 2018-4-6 18:46
虽然看不懂，还是顶一下。

作者: tegl 时间: 2018-4-6 20:53
支持原创，感谢分享教程

作者: Xongkoro 时间: 2018-4-6 21:42
这个牛，把破解好的各版本文件放上来吧

作者: 红毛樱木 时间: 2018-4-6 22:01
本帖最后由红毛樱木于 2018-4-6 22:19 编辑

老大，33 C0到底改成什么呢

看懂了，中间原来也补充内容了，手机没仔细看，不好意思。

作者: 音乐与电脑 时间: 2018-4-6 23:16
然后，这个文件是干什么的呢？它是不是校验驱动程序签名的？

作者: ChinToy 时间: 2018-4-6 23:31
大大原创厉害感谢分享

作者: tools241 时间: 2018-4-7 09:10
大大是否方便发17133版已改好的drvinst.exe ?

Windows 10 版本 1803 的正式发行版本就是 Build 17133。

微软在这两天已经将 Windows 10 版本 1803 (春季创作者更新 Spring Creators Update，
也就是 Redstone Wave 4) 的正式发行版本安装映像发布到 Windows Update 伺服器上，目
前根据国外媒体报导预估会在 4 月 10 日前后正式向全世界的 Windows 10 使用者进行公
开推送升级 (但将采分批推送，因此有些使用者不会在第一时间就收到新版本的系统)。

作者: tools241 时间: 2018-4-7 09:44
本帖最后由 tools241 于 2018-4-8 00:00 编辑

tools241 发表于 2018-4-7 09:10

Windows 10 版本 1803 的正式发行版本就是 Build 17133。 ...

17133版 drvinst.exe 64位元版已找到字串.
感谢!

作者: tools241 时间: 2018-4-7 15:00
测试结果:
17046x64 的 drvinst.exe 修改后可给 10PE17046x64用.
17133x64 的 drvinst.exe 修改后可给 10PE17046x64, 10PE16299x64, 10PE15063x64 用,
因此可以推论: 17133x64 的 drvinst.exe 修改后 "至少" 可给 10PEx64 "17133 至 15063 之间的版本使用,
可能可以给更早的版本使用 .

作者: 2012zhd 时间: 2018-4-7 16:40

tools241 发表于 2018-4-7 15:00
测试结果:
17046x64 的 drvinst.exe 修改后可给 10PE17046x64用.
17133x64 的 drvinst.exe 修改后可给 10 ...

能不能分享一下修改后的17133x64 的 drvinst.exe

作者: tools241 时间: 2018-4-7 17:18
本帖最后由 tools241 于 2018-4-14 11:36 编辑

2012zhd 发表于 2018-4-7 16:40
能不能分享一下修改后的17133x64 的 drvinst.exe

请参考 22F :
http://bbs.wuyou.net/forum.php?mod=redirect&goto=findpost&ptid=408492&pid=3551745&fromuid=581308

作者: 2012zhd 时间: 2018-4-7 17:57

tools241 发表于 2018-4-7 17:18
drvinst17133.7z
https://pan.baidu.com/s/1lpOegdKGX0F5k4czTCWcfg

非常感谢，辛苦了。

作者: 2012zhd 时间: 2018-4-7 19:47

tools241 发表于 2018-4-7 17:18
drvinst17133.7z
https://pan.baidu.com/s/1lpOegdKGX0F5k4czTCWcfg

大师，32位s大在首页作了补充，您可以去再看看。

作者: tools241 时间: 2018-4-7 20:16
本帖最后由 tools241 于 2018-4-14 11:37 编辑

2012zhd 发表于 2018-4-7 19:47
大师，32位s大在首页作了补充，您可以去再看看。

请参考 22F :
http://bbs.wuyou.net/forum.php?mod=redirect&goto=findpost&ptid=408492&pid=3551745&fromuid=581308

作者: zfgeng 时间: 2018-4-7 22:19
谢谢楼主的分享，17133准备上线了，到时折腾个新PE玩玩

作者: slore 时间: 2018-4-7 22:44

tools241 发表于 2018-4-7 20:16
我改用 8.1(RamOS)PE 启动, 又自 Firefox 移植了一些 APP\*.DLL 过来,
依楼主提供的程式, 已经可产生 17 ...

看到你经过实际操作了，给你说下x86的情况。

为什么你的位置会是4074FA？
你确定搜索到pSetupValidateDriverPackage
你的结果根本没有加载到微软的符号信息，都看不到函数名。。。
你确定你把drvinst.pdb剪切到windisam目录了么？

drvinst_x86.exe

0040D77A: FF 15 DC 11 42 00 call dword ptr [__imp__pSetupValidateDriverPackage@44]
0040D780: 8B D8 mov ebx,eax
0040D782: 85 DB test ebx,ebx
0040D784: 75 0A jne 0040D790
0040D786: 8B 4D 10 mov ecx,dword ptr [ebp+10h]
0040D789: 8B 07 mov eax,dword ptr [edi]
0040D78B: 89 41 08 mov dword ptr [ecx+8],eax
0040D78E: EB 2B jmp 0040D7BB
0040D790: 53 push ebx

复制代码

8B D8 85 DB 75 08 6A 08
(本人的推测, 尚待验证)改成:
33 DB 8B D8 90 90 6A 08

为什么33 DB？

.text:0040D77A                call ds:__imp__pSetupValidateDriverPackage@44 ; pSetupValidateDriverPackage(x,x,x,x,x,x,x,x,x,x,x)
.text:0040D780                xor    ebx, ebx    <= ebx异或清0
.text:0040D782                mov    ebx, eax    <= 把SetupValidateDriverPackage函数的返回值eax又赋值给ebx，清0有何意义？还是返回(签名失败1，可能上层没有判断这个值，所以有90 90就可以吧)

ebx = 0
ebx = eax    => ebx = 1

和x64一样，
xor eax,eax
mov ebx,eax

前2个字节还是33 C0。

作者: tools241 时间: 2018-4-7 22:49
本帖最后由 tools241 于 2020-9-27 09:16 编辑

17666x64
  请参考楼主本文, 用Uedit32.exe找
8B F8 85 C0 75 09 41 8B
  改成：
33 C0 8B F8 90 90 41 8B
________________________________
17666x86
  请参考楼主在 #21F 的回复, 用Uedit32.exe找
8B D8 85 DB 75 0a 8B 4D
  改成:
33 C0 8B D8 90 90 8B 4D

_________________________________________
18980x64 , 用Uedit32.exe找:
FF FF 8B F0 85 C0 74 23  改成 FF FF 33 C0 8B F0 90 90
FF 85 C0 74 1F 48 改成 FF 33 C0 EB 1F 48
FF 85 C0 75 23 65 改成 FF 33 C0 90 90 65
________________________________
18980x86 , 用Uedit32.exe找:
FF FF 8B D8 85 DB 74 1B 改成 FF FF 33 C0 8B D8 90 90
FF 85 C0 74 1D 8B 改成 FF 33 C0 EB 1D 8B
FF 85 C0 75 13 64 改成 FF 33 C0 90 90 64

_________________________________________

一.10PE适用的drvinst.exe
注: 因故已无法提供*.exe载点.
仅供参考: 初步测试 drvinst.exe 的推论:
10240x64 可使用在10PEx64 16299版至10240版.
10240x86 可使用在10PEx86 16299版至10240版.
17666x64 可使用在10PEx64 16299版至15063版.
17666x86 可使用在10PEx86 16299版至15063版.
17134版起最好采用同版本的drvinst.exe

二.有兴趣者可自行取得原始EXE档, 利用 Uedit32.exe 加以修改:
UltraEdit.7z (9M) -- 此为旧版, 若取得新版须注册否则有使用期限
10PE20215x64(RamOS)_Admin_C.iso 504M -- 可与手机连线, 可由桌面以最高管理员登入(>72H不会重启), 内建  "微软拼音/五笔"
百度网盘1 (ISO1 新版), 2019/06/08新链接:  https://cowtransfer.com/s/03b63f2eb7c649 提取码: czfb

三.如何由 *.EXE 产生 *.asm
1.先下载楼主在本文中提供的 windisam.z01.zip 及 windisam.zip
windisam.z01.zip改名windisam.z01再解压windisam.zip
2.一般的10PE可能无法正常执行 windisam 之下的 *.bat ,
可改用 "正常Win系统" 或本人发布的 10PE20215x64(RamOS)_Admin_?.iso ,
  采用10PE20215x64(RamOS)_Admin_?.iso 启动后, 须登入Administrator再执行 windisam 之下的 *.bat ,
3.windisam\dumpbin_x86 之下补17个DLL档, 可由本人特制的 Firefox56 免安装版的 APP\Firefox\*.DLL 复制过来:
[ Firefox56(免安装异空版,不支援XP,可用新旧套件不可用外挂,32位元含26元件,简繁英通用).rar  (70M)
   ==> https://www.firefox.net.cn/read-52082 ]
windisam\dumpbin_x86 之下补17个DLL档, 清单如下:
api-ms-win-crt-conio-l1-1-0.dll
api-ms-win-crt-convert-l1-1-0.dll
api-ms-win-crt-environment-l1-1-0.dll
api-ms-win-crt-filesystem-l1-1-0.dll
api-ms-win-crt-heap-l1-1-0.dll
api-ms-win-crt-locale-l1-1-0.dll
api-ms-win-crt-math-l1-1-0.dll
api-ms-win-crt-multibyte-l1-1-0.dll
api-ms-win-crt-process-l1-1-0.dll
api-ms-win-crt-runtime-l1-1-0.dll
api-ms-win-crt-stdio-l1-1-0.dll
api-ms-win-crt-string-l1-1-0.dll
api-ms-win-crt-time-l1-1-0.dll
api-ms-win-crt-utility-l1-1-0.dll
msvcp140.dll
ucrtbase.dll
vcruntime140.dll

作者: addaadda 时间: 2018-4-8 08:07
好久不见的技术贴

作者: 2012zhd 时间: 2018-4-8 08:11

tools241 发表于 2018-4-7 22:49
17133x64
请参考楼主本文, 用Uedit32.exe找
8B F8 85 C0 75 09 41 8B

t大，麻烦破解一下win8x64的drvinst.exe

drvinst.7z (40.03 KB, 下载次数: 16)

作者: tools241 时间: 2018-4-8 08:19
本帖最后由 tools241 于 2018-4-8 08:46 编辑

2012zhd 发表于 2018-4-8 08:11
t大，麻烦破解一下win8x64的drvinst.exe

我只是代工而已, 其他版本可找现成的:
在立邦电子大的 WinPE生成器2.0 有
bin\DRVINST\w864
bin\DRVINST\w886
bin\DRVINST\w8164
bin\DRVINST\w8186
bin\DRVINST\w1064
bin\DRVINST\w1086

WinPE生成器2.0中的 w1064 适用在 x64 的 16299版至更早的版本, 不适用在17046起的版本.( 我忘了是否适用在17025,17035版? )
未来 WinPE生成器2.1 版必然会再更新 w1064 及 w1086, 以便适用在17046起的版本.

作者: 2012zhd 时间: 2018-4-8 08:35

tools241 发表于 2018-4-8 08:19
可找现成的:
在立邦电子大的 WinPE生成器2.0 有
bin\DRVINST\w864

感谢，我去下载提取。

作者: slore 时间: 2018-4-8 08:51
不知道是不是我语文不好，上传一个。

1分钟半破解GIF演示

再不行那就是下载符号库和，dumpbin.exe程序有问题，
自己到安装Visual Studio自行提取。

作者: addaadda 时间: 2018-4-8 09:40
为啥explorer.exe 不能这样反汇编呢，楼主能帮忙看看么
=====================================
Microsoft (R) COFF/PE Dumper Version 14.00.23918.0
Copyright (C) Microsoft Corporation.  All rights reserved.

找到 PDB 文件(在“E:\windisam\explorer.pdb”中)

LINK : fatal error LNK1000: Internal error during DumpSections

  Version 14.00.23918.0

  ExceptionCode          = C0000005
  ExceptionFlags          = 00000000
  ExceptionAddress       = 014190DA (01380000) "E:\windisam\dumpbin_x86\link.exe"
  NumberParameters       = 00000002
  ExceptionInformation[ 0] = 00000000
  ExceptionInformation[ 1] = 00000000

CONTEXT:
  Eax = 00000000  Esp = 00CFDE04
  Ebx = 00000000  Ebp = 00CFDEE8
  Ecx = 00000000  Esi = 00CF0001
  Edx = 00000001  Edi = 00CFF034
  Eip = 014190DA  EFlags = 00010202
  SegCs  = 00000023  SegDs  = 0000002B
  SegSs  = 0000002B  SegEs  = 0000002B
  SegFs  = 00000053  SegGs  = 0000002B
  Dr0 = 00000000  Dr3 = 00000000
  Dr1 = 00000000  Dr6 = 00000000
  Dr2 = 00000000  Dr7 = 00000000
请按任意键继续. . .

作者: slore 时间: 2018-4-8 10:10

addaadda 发表于 2018-4-8 09:40
为啥explorer.exe 不能这样反汇编呢，楼主能帮忙看看么
=====================================
Microsof ...

不错，会变通。符库已经下好了，内部错误，估计explorer的结果比较大，x86的dumpbin处理不了，换64位dumpbin.exe试试。这个是文本，你可以其他反编译工具查看，可以加载到pdb就行。od,ida等等。

作者: addaadda 时间: 2018-4-8 10:26
本帖最后由 addaadda 于 2018-4-8 10:29 编辑

slore 发表于 2018-4-8 10:10
不错，会变通。符库已经下好了，内部错误，估计explorer的结果比较大，x86的dumpbin处理不了，换64位dump ...

我看了win10x64的explorer可以反汇编（35MB），win8.1x64的就不行，不知道哪里的问题，系统是win10x64

上传不可以反编译的附件

explorer.7z (976.9 KB, 下载次数: 14)

作者: freesoft00 时间: 2018-4-8 11:05

slore 发表于 2018-4-8 10:10
不错，会变通。符库已经下好了，内部错误，估计explorer的结果比较大，x86的dumpbin处理不了，换64位dump ...

请问一下，mbr或者pbr使用winhex保存的bin如何转换成汇编代码。
想看看bootice是查看哪里的特征区分mbr类型的

作者: 2012zhd 时间: 2018-4-8 11:07
“为什么不尝试自己做？下载你附件到改好就1，2分钟 ”

小白啊，什么都不懂。

作者: 红毛樱木 时间: 2018-4-8 11:25
有没有办法更暴力点？破解windows内核驱动签名校验

作者: slore 时间: 2018-4-8 17:50
本帖最后由 slore 于 2018-4-8 17:57 编辑

freesoft00 发表于 2018-4-8 11:05
请问一下，mbr或者pbr使用winhex保存的bin如何转换成汇编代码。
想看看bootice是查看哪里的特征区分mbr ...

磁盘扇区上的数据是16位的汇编指令，dumpbin只能识别32位和64位的Windows程序不适用。

高级点的你用IDA可以看。
搜索16位反编译器，会有很多，毕竟就是CPU指令的翻译，
我随便点了一个github上的C#的，SharpDisasm。

下了一个NET35支持的版本，WINHEX保存55AA的MBR为MBR.BIN，
然后复制16进制可视区域得到十六进制的文本MBR.TXT

33 C0 8E D0 BC 00 7C FB 8E C0 8E D8 8B F4 BF 00
06 B9 00 02 FC F3 A4 EA 60 06 00 00 00 00 00 00
50 4F 57 45 52 52 45 43 4F 56 45 52 00 00 00 00
...
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 55 AA

复制代码

然后运行:
type mbr.txt|| disasmcli.exe 16

0000 33 c0 xor ax, ax
0002 8e d0 mov ss, ax
0004 bc 00 7c mov sp, 0x7c00
0007 fb sti
0008 8e c0 mov es, ax
000a 8e d8 mov ds, ax
000c 8b f4 mov si, sp
000e bf 00 06 mov di, 0x600
0011 b9 00 02 mov cx, 0x200
0014 fc cld
0015 f3 a4 rep movsb
0017 ea 60 06 00 00 jmp word 0x0:0x660
001c 00 00 add [bx+si], al
001e 00 00 add [bx+si], al
0020 50 push ax

复制代码

也支持32位，64位。drvinst.exe的破解指令也可以看。

D:\Users\Slore\桌面\windisam\Net35>echo 8B F8 85 C0 75 09 |disasmcli.exe 64
0000000000000000 8b f8                         mov edi, eax
0000000000000002 85 c0                         test eax, eax
0000000000000004 75 09                         jnz 0xf

D:\Users\Slore\桌面\windisam\Net35>echo 33 c0 8b f8 90 90 |disasmcli.exe 64
0000000000000000 33 c0                         xor eax, eax
0000000000000002 8b f8                         mov edi, eax
0000000000000004 90                            nop
0000000000000005 90                            nop

D:\Users\Slore\桌面\windisam\Net35>echo 8B D8 85 DB 75 04|disasmcli.exe 32
00000000 8b d8                         mov ebx, eax
00000002 85 db                         test ebx, ebx
00000004 75 04                         jnz 0xa

D:\Users\Slore\桌面\windisam\Net35>echo 33 c0 8b D8 90 90|disasmcli.exe 32
00000000 33 c0                         xor eax, eax
00000002 8b d8                         mov ebx, eax
00000004 90                            nop
00000005 90                            nop

sharpdisasm_NET35.zip (67.07 KB, 下载次数: 33)
我没改，NET35里面的config写的是.net45，反正我WIN10下是可以运行。
删除config文件系统将自动识别，不过启动会变慢，卡顿0.5秒的感觉。

作者: slore 时间: 2018-4-8 18:08

addaadda 发表于 2018-4-8 10:26
我看了win10x64的explorer可以反汇编（35MB），win8.1x64的就不行，不知道哪里的问题，系统是win10x64
...

windisam_dumpbin_x64.zip (1.98 MB, 下载次数: 66)

我不知道x86为什么不行，不过x64可以，我试着复制出来x64的最小文件，你可以试试，
如果不行的话，建议你安装Visual Studio自己找x64的dumpbin.exe

作者: 红毛樱木 时间: 2018-4-8 18:18
破解的方法，试了下在win7里不行，不知道何故。

作者: addaadda 时间: 2018-4-8 21:32

slore 发表于 2018-4-8 18:08
我不知道x86为什么不行，不过x64可以，我试着复制出来x64的最小文件，你可以试试，
如果不行的话， ...

多谢

作者: tegl 时间: 2018-4-8 22:30
本帖最后由 tegl 于 2018-4-8 22:32 编辑

红毛樱木发表于 2018-4-8 18:18
破解的方法，试了下在win7里不行，不知道何故。

刚试了32位W7的DrvInst.exe，没问题啊
  0102CDF5: E8 06 D2 00 00    call       _pSetupValidateDriverPackage@36
  0102CDFA: 8B F0             mov       esi,eax
  0102CDFC: 85 F6             test       esi,esi
  0102CDFE: 75 07             jne       0102CE07
  0102CE00: 8B 03             mov       eax,dword ptr [ebx]

作者: 红毛樱木 时间: 2018-4-9 06:47

tegl 发表于 2018-4-8 22:30
刚试了32位W7的DrvInst.exe，没问题啊
0102CDF5: E8 06 D2 00 00 call _pSetupValidateD ...

改完这里，你装下驱动试试。全装不了了

作者: 红毛樱木 时间: 2018-4-9 09:55
本帖最后由红毛樱木于 2018-4-9 10:19 编辑

ys是原始没改过的，另外一个是改过的

x86的是这样

0102CBFE: E8 27 D0 00 00 call _pSetupValidateDriverPackage@36
0102CC03: 8B F0 mov esi,eax
0102CC05: 85 F6 test esi,esi
0102CC07: 75 07 jne 0102CC10
0102CC09: 8B 03 mov eax,dword ptr [ebx]
0102CC0B: 89 47 08 mov dword ptr [edi+8],eax
0102CC0E: EB 21 jmp 0102CC31
0102CC10: 56 push esi
0102CC11: 68 44 E8 00 01 push offset ??_C@_0DL@BAACEHAK@Driver?5package?5failed?5signature?5@
0102CC16: 6A 01 push 1
0102CC18: 68 00 00 00 01 push 1000000h
0102CC1D: FF 75 FC push dword ptr [ebp-4]
0102CC20: FF 75 F8 push dword ptr [ebp-8]
0102CC23: FF 15 28 13 00 01 call dword ptr [__imp__SetupWriteTextLog]
0102CC29: 83 C4 18 add esp,18h
0102CC2C: EB 03 jmp 0102CC31
0102CC2E: 6A 57 push 57h
0102CC30: 5E pop esi
0102CC31: 5F pop edi

复制代码

这种jne直接0102CC10的是push，是不是就直接跳过去了？
0102CC11也直接push了，是不是也跳过去了？实际是不是0102CC05的test基本就可以忽略不管它了呀。
这种情况是不是就不用破解了。。。
不太懂，瞎猜的。

-----------------------------------------------------------------------
x64是这样

0000000100006A58: E8 2B E4 00 00 call pSetupValidateDriverPackage
0000000100006A5D: 8B D8 mov ebx,eax
0000000100006A5F: 85 C0 test eax,eax
0000000100006A61: 75 09 jne 0000000100006A6C
0000000100006A63: 41 8B 0C 24 mov ecx,dword ptr [r12]
0000000100006A67: 89 4E 10 mov dword ptr [rsi+10h],ecx
0000000100006A6A: EB 26 jmp 0000000100006A92
0000000100006A6C: 4C 8D 0D 5D B4 FF lea r9,[??_C@_0DL@BAACEHAK@Driver?5package?5failed?5signature?5@]

复制代码

照着置顶改的不行

win7.7z

81.7 KB, 下载次数: 25, 下载积分: 无忧币 -2

作者: slore 时间: 2018-4-9 11:30

红毛樱木发表于 2018-4-9 09:55
ys是原始没改过的，另外一个是改过的

x86的是这样

x64，一次8字节指令，一句就够，x86要2句4字节指令，所以先push一个地址，在push出错信息。

汇编结果是对的，这里的逻辑也是和1楼一样的，你改的这几个字节也是对的。

只改这6个字节是好的，你在WIN7下可以运行，程序不出错。

但是通过FC命令比较，ys和你改的文件，变动比较多，你是改完还做了
文件校验和修改？

这个时候你改过的版本直接双击。

---------------------------
drvinst.exe - 应用程序错误
---------------------------
应用程序不能正确启动 (0xc000007b)。请点击[OK] 关闭应用。
---------------------------
OK
---------------------------

WIN10是不需要校验和的，我不清楚WIN7是不是必须，如果是，那么是因为你这里错了，这个程序就运行不起来，所以驱动安装不了。

作者: 红毛樱木 时间: 2018-4-9 11:32

slore 发表于 2018-4-9 11:30
x64，一次8字节指令，一句就够，x86要2句4字节指令，所以先push一个地址，在push出错信息。

汇编结果 ...

哦，所有的我都做了校验和处理。

作者: 红毛樱木 时间: 2018-4-9 11:33

slore 发表于 2018-4-9 11:30
x64，一次8字节指令，一句就够，x86要2句4字节指令，所以先push一个地址，在push出错信息。

汇编结果 ...

确实是啊。。。我晕，我校验和处理过了之后我没运行一下测试。。。

难道win7的不能用校验和去处理下么

作者: wynew8au 时间: 2018-4-11 14:00
本帖最后由 wynew8au 于 2018-4-11 14:08 编辑

谢谢。666

作者: xman00 时间: 2018-6-4 10:22
留贴拜读~~~

作者: moran 时间: 2018-6-24 01:37
技术贴，支持一下。

作者: airing 时间: 2019-1-13 07:11
好帖要顶！

作者: nf17b 时间: 2019-6-5 14:48
Windows 10 18908 好像有變化 ?
是否可抽空研究一下 , 謝謝

作者: yamingw 时间: 2019-6-5 15:25
Windows 10 18908 x64
8B F0 85 C0 74 47
改为
33 C0 8B F0 EB 47

作者: jy02116916 时间: 2019-6-12 10:34
很强大学习了

作者: WAIGO 时间: 2019-7-19 21:13
本帖最后由 WAIGO 于 2019-7-19 21:15 编辑

19H2(18362.10005) x86 PE 用了没破解的原始 drvinst.exe 文件，始终出现警告字句。想按照首頁的説明自行破解一下，但开始执行 "3.拖动drvinst.exe文件到symbol_dl.bat" 之后出现了下面图一、二的画面，再按任意键并没有出现像您所写那样 "1，2秒左右，drvinst.pdb文件将生成一个Symbols文件夹"。制作无法继续。现将这个属於 19H2(18362.10005) x86PE 的原始 drvinst.exe 文件附去给您，恳请代为破解一下。非常感谢！

drvinst.exe (143 KB, 下载次数: 14)

作者: slore 时间: 2019-7-20 23:16

WAIGO 发表于 2019-7-19 21:13
19H2(18362.10005) x86 PE 用了没破解的原始 drvinst.exe 文件，始终出现警告字句。想按照首頁的説明自行破 ...

你网络环境没有问题么？我这里可以下载符号信息。

symchk.exe "D:\Users\Slore\桌面\windisam\drvinst.exe" /s SRV*D:\Users\Slore\桌面\windisam\Symbols*http://msdl.microsoft.com/download/symbols
press any key to continue...

SYMCHK: FAILED files = 0
SYMCHK: PASSED + IGNORED files = 1
请按任意键继续. . .

特征码如下:

0040D6B0: FF 15 D4 11 42 00 call dword ptr [__imp__pSetupValidateDriverPackage@40]
0040D6B6: 8B D8 mov ebx,eax
0040D6B8: 85 DB test ebx,ebx
0040D6BA: 75 0A jne 0040D6C6
0040D6BC: 8B 4D 10 mov ecx,dword ptr [ebp+10h]
0040D6BF: 8B 07 mov eax,dword ptr [edi]
0040D6C1: 89 41 08 mov dword ptr [ecx+8],eax
0040D6C4: EB 2B jmp 0040D6F1
0040D6C6: 53 push ebx
0040D6C7: 68 BC 24 40 00 push offset ??_C@_0DL@BAACEHAK@Driver?5package?5failed?5signature@

复制代码

另外不需要手动处理吧。WimBuilder的自动处理也正常。。。

D:\Dev\WimBuilder2\Projects\WIN10XPE\01-Components\Patch_drvinst>main.bat
.\drvinst.exe was successfully patched!
请按任意键继续. . .

作者: liuzhaoyzz 时间: 2019-10-23 14:49
本帖最后由 liuzhaoyzz 于 2019-10-23 14:54 编辑

5分钟破解步骤：
1.解压到任意目录（最好简单没空格纯英文例如D:\windisam）

2.把drvinst.exe放到相同目录

3.拖动drvinst.exe文件到symbol_dl.bat

1，2秒左右，drvinst.pdb文件将生成一个Symbols文件夹

4.剪切drvinst.pdb到windisam根目录

5.拖动drivinst.exe到wdisasm.bat

1，2秒左右，将得到drvinst.asm反汇编文件
这里得到的drvinst.asm是空的，只有54字节，是怎么回事？上面一步出错了？我在WIN7 WIN10下面都试了不行，我换用windisam_dumpbin_x64也是出错，怎么办？我搜索了帖子里面所有的HEX特征码都找不到。

6.用记事本打开drvinst.asm文件，查找__imp_pSetupValidateDriverPackage
补充:有人问32位的，好像32位直接改注册表可以用不需要，既然问了就看了下。
32位的函数名是__imp__pSetupValidateDriverPackage
多了一个下划线，所以通用的话，用pSetupValidateDriverPackage就可以了。

drvinst14393.rar

94.04 KB, 下载次数: 21, 下载积分: 无忧币 -2

作者: liuzhaoyzz 时间: 2019-10-23 15:10
本帖最后由 liuzhaoyzz 于 2019-10-23 15:34 编辑

哦，看错了，拖动exe。
14393:
8BD885C075088B06改成：33C08BF890908B06
不知道这个对不对？

  00000001400073FC: FF 15 BE 00 01 00  call       qword ptr [__imp_pSetupValidateDriverPackage]
  0000000140007402: 8B D8             mov       ebx,eax
  0000000140007404: 85 C0             test       eax,eax
  0000000140007406: 75 08             jne       0000000140007410
  0000000140007408: 8B 06             mov       eax,dword ptr [rsi]
  000000014000740A: 41 89 46 10       mov       dword ptr [r14+10h],eax
  000000014000740E: EB 3B             jmp       000000014000744B

G:\WimBuilder2-Full20191010\WimBuilder2-Full\Projects\WIN10XPE\01-Components\Patch_drvinst\main.bat
35行：
:AssemblePatch
echo Assemble Patch ...
set VER_NAME=%WB_PE_VER%
if %VER[3]% GTR 17000 set VER_NAME=win10.rs4later
if %VER[3]% GTR 17700 set VER_NAME=win10.rs5later
if %VER[3]% GTR 18908 set VER_NAME=win10.18908later
call :Drvinst_%VER_NAME%_%WB_PE_ARCH%
if "%PATCH_MODE%"=="local" pause
goto :EOF

:Drvinst_10.0.14393_x64
call :PATCH 8BD8 85C0 7508 8B06
goto :EOF
添加这个对不对？

:Drvinst_10.0.15063_x64
call :PATCH 8BF0 85C0 7509 418B
goto :EOF

:Drvinst_win10.rs4later_x64
call :PATCH 8BF8 85C0 7509 418B
goto :EOF

:Drvinst_win10.rs4later_x86
call :PATCH 8BD8 85DB 750A 8B4D
goto :EOF

:Drvinst_win10.rs5later_x64
call :PATCH 8BF0 85C0 7509 418B
goto :EOF

:Drvinst_win10.rs5later_x86
call :PATCH 8BD8 85DB 750A 8B4D
goto :EOF

:Drvinst_win10.18908later_x64
call :FULL_PATH 8BF0_85C0_7447 33C0_8BF0_EB47
goto :EOF

:Drvinst_win10.18908later_x86
call :FULL_PATH 8BD8_85DB_742B_53 33C0_8BD8_EB2B_53
goto :EOF

:FULL_PATH
binmay.exe -v -s "%1" -r "%2" -u "%X_SYS%\drvinst.exe"
goto :PATCH_CONFIRM

:PATCH
binmay.exe -v -s "%1%2%3%4" -r "33C0%19090%4" -u "%X_SYS%\drvinst.exe"
:PATCH_CONFIRM
fc /b "%X_SYS%\drvinst.exe.org" "%X_SYS%\drvinst.exe"
del /q "%X_SYS%\drvinst.exe.org"

作者: liuzhaoyzz 时间: 2019-10-23 20:16
本帖最后由 liuzhaoyzz 于 2019-10-23 20:26 编辑

7. UE打开drvinst.exe，搜索字节序，改之。
8B F8 85 C0 75 09 41 8B
改成如下：
33 C0 8B F8 90 90 41 8B

补充1:
某老版本的修正如下：
8B F0 85 C0 75 09 41 8B
改为
33 C0 8B F0 90 90 41 8B

17133对应:
8B F8 85 C0 75 09 41 8B
可能改成如下：
33 C0 8B F8 90 90 41 8B

这里面没有33C0 8BD8啊？
初步试了下，用破解版drvinst，用ljycslg的驱动包，可以进入桌面，但是在安装驱动的时候蓝屏了，报NETIO.SYS错误。

Windows 10 x64-2019-10-23-20-19-15.png (19.92 KB, 下载次数: 247)

作者: liuzhaoyzz 时间: 2019-10-23 21:13
本帖最后由 liuzhaoyzz 于 2019-10-24 09:17 编辑

晕了，netio.sys蓝屏的原因是因为用了错误的破解文件，tcpipreg.sys和系统的版本不一致。改过来就好了。但是14393试了破解过的drvinst也还是无法安装第三方驱动。破解drvinst安装驱动就会提示“内存位置访问无效”.

作者: liuzhaoyzz 时间: 2019-12-1 15:32
14393版本的drvinst.exe破解不行，不清楚原因，似乎不破解也可以安装驱动吧。没有深度测试。

作者: liuzhaoyzz 时间: 2019-12-1 15:56
我试了ljycslg14393PE里面的破解版drvinst替换我制作的14393PE，似乎也不行，可能是小版本号不同，没有深入研究。

作者: dafang_2001 时间: 2019-12-1 23:17
支持原创，感谢分享

作者: liuzhaoyzz 时间: 2019-12-2 11:47
本帖最后由 liuzhaoyzz 于 2019-12-2 11:49 编辑

addaadda，请问下drvinst对于14393不同的版本是否可以通用？小版本号另外，你说错了一个字节，是哪个字节？请详述

作者: slore 时间: 2019-12-2 11:55

liuzhaoyzz 发表于 2019-12-2 11:47
addaadda，请问下drvinst对于14393不同的版本是否可以通用？小版本号另外，你说错了一个字节，是哪个字节？ ...

看代码，微软有时候改动影响到了，就不一定了，通常没影响，WimBuilder2的包里有个测试驱动，main.bat你改下开关，没破解前不能装，破解可以装，用来验证的。

作者: liuzhaoyzz 时间: 2019-12-2 12:01

slore 发表于 2019-12-2 11:55
看代码，微软有时候改动影响到了，就不一定了，通常没影响，WimBuilder2的包里有个测试驱动，main.bat你 ...

54楼的代码，我试了似乎不行啊。
http://wuyou.net/forum.php?mod=r ... 1168&fromuid=298214
:Drvinst_10.0.14393_x64
call :PATCH 8BD8 85C0 7508 8B06
goto :EOF

作者: liuzhaoyzz 时间: 2019-12-2 12:06
cn_windows_10_enterprise_2016_ltsb_x64_dvd_9060409.iso
10.0.14393

作者: addaadda 时间: 2019-12-2 14:17

liuzhaoyzz 发表于 2019-12-2 11:47
addaadda，请问下drvinst对于14393不同的版本是否可以通用？小版本号另外，你说错了一个字节，是哪个字节？ ...

第一个是原版，第二个是我改的，第三个是你改的

作者: liuzhaoyzz 时间: 2019-12-2 16:15

addaadda 发表于 2019-12-2 14:17
第一个是原版，第二个是我改的，第三个是你改的

谢谢分享！晚点试下。

作者: liuzhaoyzz 时间: 2019-12-2 20:23
本帖最后由 liuzhaoyzz 于 2019-12-2 20:26 编辑

刚才试了下，
H:\WimBuilder2-Full2019101014393\Projects\WIN10XPE\01-Components\Patch_drvinst\main.bat
45行：
:Drvinst_10.0.14393_x64
rem call :PATCH 8BD8 85C0 7508 8B06
call :FULL_PATH 8BD8_85C0_7508_8B06 33C0_8BD8_9090_8B06
goto :EOF
用wimbuilder2构建，搭配ljycslg的无线网卡驱动，还是显示“内存位置访问无效”。

slore大神，有空的时候，看下上面的代码，是不是按照addaadda所说的修改的，修改的对不对？

作者: slore 时间: 2019-12-2 22:40

liuzhaoyzz 发表于 2019-12-2 20:23
刚才试了下，
H:\WimBuilder2-Full2019101014393\Projects\WIN10XPE\01-Components\Patch_drvinst\main.ba ...

测试了，

:Drvinst_10.0.14393_x64
call :PATCH 8BD8 85C0 7508 8B06
goto :EOF

复制代码

代码没有问题。这个帖子的内容没问题。

=========================================
你没有看日志？没有添加pause确认自己的代码被运行？也没有提取PE的系统文件比较？

“提示内存位置访问无效”错误，是因为你没有成功修改。

因为默认先使用通用补丁(DrvInstPatch.exe)，不过这个补丁貌似对低版本改的不太对。

Applying Patch:.\Patch_drvinst\main.bat
X:\Windows\System32\drvinst.exe was successfully patched!

这里成功了，就没继续。

开测试，正常构建时的日志是：

Extracting file data: 181 KiB of 181 KiB (100%) done
Done extracting files.
Applying Patch:.\Patch_drvinst\main.bat
X\Windows\INF\netrndis.inf
X\Windows\INF\rndismp6.sys
X\Windows\INF\usb80236.sys
X\Windows\INF\wceisvista.inf
复制了 4 个文件
Assemble Patch ...
Writing to X:\Windows\System32\drvinst.exe.org...
Writing to X:\Windows\System32\drvinst.exe...
Done: 1 matches.
正在比较文件 X:\WINDOWS\SYSTEM32\drvinst.exe.org 和 X:\WINDOWS\SYSTEM32\DRVINST.EXE
00006802: 8B 33
00006803: D8 C0
00006804: 85 8B
00006805: C0 D8
00006806: 75 90
00006807: 08 90

正确的修改是添加一行下面的代码，在通用补丁执行前跳转

if %VER[3]% LSS 15063 goto :AssemblePatch

复制代码

另外，默认的测试驱动就是RNDIS驱动。。。是系统自带的，
仅当DRIVERS是“未设置”的时候，才需要修改drvinst.exe，
合并和替换的话，自动就可以正常安装驱动，达不到测试的目的。

作者: liuzhaoyzz 时间: 2019-12-3 07:23
我记得有帖子讨论过，显示是patch成功了的，确实是修改过了的，修改过的drvinst和没有修改的是不同的表现，没修改的不会出现内存位置访问无无效的问题。

作者: liuzhaoyzz 时间: 2019-12-4 08:53
本帖最后由 liuzhaoyzz 于 2019-12-4 09:30 编辑

好消息！抽空测试了下，按照slore大神67楼的指引，
G:\WimBuilder2-Full20191010\WimBuilder2-Full14393\Projects\WIN10XPE\01-Components\Patch_drvinst\main.bat
27行添加这个：
rem 新增加的语句：
if %VER[3]% LSS 15063 goto :AssemblePatch

48行添加这个：
:Drvinst_10.0.14393_x64
call :PATCH 8BD8 85C0 7508 8B06
rem call :FULL_PATH 8BD8_85C0_7508_8B06 33C0_8BD8_9090_8B06
goto :EOF

然后14393PE在wimbuilder2的组件→禁用驱动签名数字验证勾上，搭配ljyclsgPE里面提取的无线网卡驱动，无线网卡驱动正常了！

大家测试下看看，如果没问题，希望slore大神把上面的语句纳入新版的wimbuilder2中。
下载地址1：链接: https://pan.baidu.com/s/1SiXX0g2yv5Ee7Dke2k0uUg 提取码: g4es
文叔叔7天分享不限速：https://wss1.cn/f/18jn6a50gvb

作者: 2011mtw35 时间: 2021-7-30 22:39
S大，drvinst.asm里面没pSetupValidateDriverPackage这个参数啊，有时间帮忙看看什么问题，

原版drvinst.22000.100.rar (145.39 KB, 下载次数: 14)

作者: slore 时间: 2021-7-31 00:14

2011mtw35 发表于 2021-7-30 22:39
S大，drvinst.asm里面没pSetupValidateDriverPackage这个参数啊，有时间帮忙看看什么问题，

...

你搜索下 ValidateDriverPackage 是不是就有了？
关键码和21h1一样的。

作者: 北岛zx 时间: 2022-2-18 22:02
666666666666666666666

作者: 北岛zx 时间: 2022-2-18 22:02
66666666666666

作者: davidxxw 时间: 2022-2-27 10:15
感谢分享！

作者: Bluebells 时间: 2022-3-10 14:47
新版本的 drvinst.exe 已经查不到 pSetupValidateDriverPackage 关键词了

作者: Bluebells 时间: 2022-3-16 21:08
70楼的关键词 ValidateDriverPackage 可以, 谢谢了~
PS: 用点评不便于回复

作者: Sim683 时间: 2023-1-19 19:37
好强的技术帖，谢谢楼主的分享

作者: enuser2k 时间: 2023-1-28 00:25
Perfect job!

作者: 苍龙天涯 时间: 2023-1-28 00:50
感谢分享

作者: zyy 时间: 2023-2-7 00:32
谢谢分享，备用

作者: hycsl888 时间: 2023-2-9 12:51
终于找到了，可惜下不了附件啊。哪位给搞个网盘，谢谢

作者: sony09090 时间: 2023-3-9 09:52
感谢分享！

作者: yiwan 时间: 2023-4-2 17:51
分享快乐

作者: yyz2191958 时间: 2023-4-2 18:02
惭愧，我看不明白。

作者: ZXGU 时间: 2023-7-27 07:28
本帖最后由 ZXGU 于 2023-7-27 16:54 编辑

2011mtw35 发表于 2021-7-30 22:39
S大，drvinst.asm里面没pSetupValidateDriverPackage这个参数啊，有时间帮忙看看什么问题，

...

问下有经验的：Win11是否也是这样修改？字节序依旧是这样改吗

作者: Kisturyo 时间: 2023-10-1 22:01
感谢大佬教学

作者: martin313 时间: 2023-10-23 07:03
破解 drvinst.exe 的好帖

作者: fxl0571 时间: 2023-11-19 17:21
谢谢分享

作者: CYBERLONER 时间: 2024-7-12 15:22
这个要学习一下啊

作者: 蓝星明月 时间: 2024-10-10 19:55
谢谢分享！！！

欢迎光临无忧启动论坛 (http://bbs.c3.wuyou.net/)