全面支持Win10 ARM64！已签名专用exFAT驱动制作完成

朱玛12345678

注意：该驱动仅适用于Windows 10 ARM64架构的系统，对于其他体系结构的系统则不可使用。

前言
在上个月之前，我成功制作出基于x64架构的已签名exFAT驱动并完美解决了启动时间过长的问题：http://bbs.wuyou.net/forum.php?m ... 14353&mobile=no
感谢一些热心坛友向我提交测试报告，帮助我改善并解决可能遇到的潜在问题。而这一次开帖更新将彻底解决基于ARM64平台的启动报错问题，下面让我们开始吧。

原因
说到驱动的数字签名，我当时并没有考虑到有ARM64这个特殊平台的存在。就在几天前有一位热心网友主动添加我为好友并向我反映了现有驱动不能使用导致无法从exFAT分区启动系统的问题，当他在细节中提到使用的设备为树莓派3B，运行Windows 10 ARM64操作系统时，我意识到这是一个完全在我意料之外的新问题。
由于我没有可用于测试的ARM64设备，因此在这期间均由他配合测试并向我反馈结果，经过我们的研究与测试连夜奋战了多天终于宣布解决，同时在此也感谢 @Monkey_Yang 的热心支持。

分析
既然是ARM64的系统，那么X64的驱动肯定是无法使用的，这样我就需要收集各版本ARM64系统的exFAT驱动并重新加入数字签名制作驱动包进行测试。
根据上一次签名驱动的经验，我立即用相同的方式为该驱动加上了数字签名，本以为这就能够解决问题。

然而汇报的实际测试结果却让我非常意外，在启动系统时居然提示无法验证此文件的数字签名。很奇怪该驱动明明已经有了数字签名而且还是显示有效的却被系统视为没有签名，而这在x64的系统上是完全没有这个问题的。
不过手动按F8选择禁用驱动程序强制签名验证则可以启动系统，但每次开机都要这样做的话显然太过麻烦也不是解决办法。

当时我认为应该是系统本身有问题，他报告当前用的系统版本是Win10 v1803，我就说尝试重装最新的Win10 v1903看看能不能解决，不过重装期间也因为机器配置原因在安装系统时遇到了一些小问题。
当重装完成后我再将新的已签名exFAT驱动发给他测试启动时，结果竟然和重装之前的情况完全一样。这真是怪事了，按说数字签名都是有的没道理不能识别啊。

后来仔细想了想也许这可能真的是数字签名问题，但一时半会儿又找不到能验证这个问题的方案。我沉思许久突然想到可以尝试把已经内置微软数字签名的NTFS驱动替换成自己做的签名，这或许可以得到答案。

结果本来能用的驱动在测试启动时也出现了数字签名验证不过的现象，这样的话基本可以确定不是系统问题而是我做的签名问题了。


思路
得到了这个测试结果也为我后面的研究打开了新的思路，接下来就要分析这两个数字签名之间的差异，看来这是一个要解决的新问题了。
经过我的研究发现其中有一个很大的不同之处在于：微软是用SHA256算法的证书来为文件做数字签名，而我是用SHA1算法的证书来为文件做数字签名。这很可能是签名算法过旧而导致的，似乎需要改用新的算法签名才能被系统识别。

那么要用新签名就得换证书，但寻找可用证书是件麻烦事。好不容易找到了一个SHA2的证书能用于做数字签名，但签署时间戳又是一个大问题。

还好能用微软的SignTool命令行再打一次有效的时间戳，这时测试了用纯SHA256数字签名的驱动已经可以通过系统的签名验证了。

出于兼容性考虑这次将采用SHA1+SHA2双签名制作ARM64版的exFAT驱动，最终成功搞定Win10 ARM64的签名验证问题。


实践
这次分享的exFAT驱动均从原版Win10ARM64系统映像中提取并由我添加内置双数字签名可快速通过ARM64系统签名验证，解压缩包后根据你的系统版本选择对应的驱动文件并直接放到C:\Windows\System32\Drivers文件夹内替换掉原文件再测试启动即可。
文件下载链接
论坛直接下载： exFAT(ARM64)驱动.zip (1.12 MB, 下载次数: 212)

2019-7-9 16:46 上传

点击文件名下载附件
下载积分: 无忧币 -2

或
腾讯微云下载：http://share.weiyun.com/583QbWg
或
百度网盘下载：http://pan.baidu.com/s/18wdtQB-ZYkMSzt2AJ8YYVg


当exFAT驱动添加SHA256的数字签名后测试ARM64系统在启动时果然不再报签名错误并成功加载驱动，至此该问题圆满解决！

exFAT启动Win10 ARM64系统测试截图



后记
最后还要提醒一句：基于Win10 x64系统的驱动只需要有SHA1或SHA2任意一个数字签名就可以通过启动验证，但基于Win10 ARM64系统的驱动则必须含有SHA2数字签名才能通过启动验证，如果只含有SHA1数字签名在启动系统时也会被视为无数字签名验证不过，在做驱动程序开发的一定要注意这一点。

tanglf

感谢分享

setvd

感谢分享！！！

ypcok

估计楼主取淄博吃烧烤去了......

ypcok

朱玛12345678你好，这个签名tool还能用吗 ？

ypcok

hopehu 发表于 2023-5-3 08:03
能发个 亚洲诚信数字签名工具修改版 给我吗？  我找不到可以用的。

win10的KB5004237更新之后，吊销了一批驱动的证书，好像还把上海域联之类传播比较广的泄漏证书加进黑名单了？

看到这个了，
我签名后，显示正常，诞生启动还是报错---428错误

ypcok

hopehu 发表于 2023-5-3 08:03
能发个 亚洲诚信数字签名工具修改版 给我吗？  我找不到可以用的。

你在吾爱破解 搜一下 JemmyloveJenny，.
我还没有测试成功，所以不知道哪个能用。
还要装一个SDK，重新大时间戳......

楼主测试成了，
上面说的也很详细........
我先用微软的tool打时间戳测试一次

hopehu

ypcok 发表于 2023-5-1 09:18
亚洲诚信数字签名工具修改版 能通过驱动签名验证 免修改系统时间 增加时间戳

我无权发链接，百度一下 ...

能发个 亚洲诚信数字签名工具修改版 给我吗？ work72@163.com 我找不到可以用的。

hopehu

学习了

hopehu

ypcok 发表于 2023-5-1 09:18
亚洲诚信数字签名工具修改版 能通过驱动签名验证 免修改系统时间 增加时间戳

我无权发链接，百度一下 ...

非常感谢

seeimpact153

感谢分享

ypcok

hopehu 发表于 2023-5-1 09:07
牛人！想知道怎么添加驱动数字签名

亚洲诚信数字签名工具修改版 能通过驱动签名验证 免修改系统时间 增加时间戳

我无权发链接，百度一下吧
(出处: 吾爱破解论坛)

ypcok

hopehu 发表于 2023-5-1 09:07
牛人！想知道怎么添加驱动数字签名

要使用那个tool。楼主前面的帖子里面有截图

hopehu

牛人！想知道怎么添加驱动数字签名

ypcok

搞这套签名tool的，也是神人。
在github上，那个tool现在没有更新了.

vernez

谢谢分享

aiwu

牛的牛的

vernez

谢谢分享

99207046

感谢分享软件

zp1688

谢谢分享！

GameMaster2012

感谢分享

本拉登祖宗

win11可以用这个驱动吗？

481416322

高！实在是高！

616813768

感谢分享。。

nianyueriPE

1e3e 发表于 2021-8-23 12:56
楼主大大可否提供一个可引导arm的grubdos

你可以用grub2

nianyueriPE

1e3e 发表于 2021-8-23 12:56
楼主大大可否提供一个可引导arm的grubdos

grub4dos与grub4efi都没有arm版本，源代码需要修改

tcog

支持国产cpu   FT2000

3408

版主就是厉害

xjh88232259

谢谢分享，学习学习。

boaz199

顶，谢谢楼主的劳动和分享。

核子动力

对楼主只有仰望