5 sept 2022

Firma de Drivers en Modo Kernel: Windows 7 y 8

Notas:

• Windows 7 ha sido parchado recientemente por Microsoft para admitir firmas SHA256. Para el certificado de firma de código EV, consulte esta guía.
• A partir del 26 de enero de 2021, GlobalSign ya no ofrecerá los servicios SHA-1 Authenticode y CodeSign Timestamping.

Prerrequisitos

• Certificado de Firma de Código de GlobalSign
• Kit de desarrollo de software (SDK) de Windows para Windows 8.1
• Certificado cruzado:
  • Los pedidos SHA-256 también utilizan el certificado cruzado R1-R3 – predeterminado el 31 de marzo de 2014 y después. (El certificado cruzado R1-R3 deberá instalarse en el equipo firmante, pero no especificarse como un certificado adicional durante el procedimiento de firma)

Opciones Importantes de SignTool: 

• /ac Especifique un certificado adicional.
• /f Especifique el certificado de firma en un archivo.
• /p Especifique la contraseña para el certificado de firma.
• /fd Especifique el algoritmo de resumen de archivos utilizado en la creación de firmas de archivos.
  • Por ejemplo /fd sha256 para colocar una firma SHA256 (SHA1 por defecto). 
• /n "Nombre común del certificado" Especifica el certificado para firmar el archivo desde el Almacén de certificados de Windows con el nombre común del certificado.
• /t Especifique un servidor de marca de tiempo compatible con Microsoft Authenticode.
• /tr Especifique un servidor de marca de tiempo de confianza compatible con RFC 3161.

Procedimiento

Puede ver el video a continuación (en inglés) para obtener un tutorial.

O bien, puede consultar las pautas paso a paso a continuación.
 

1. Para que el controlador se instale correctamente, se deben firmar los siguientes tipos de archivo del proyecto:
   • .sys
   • .cat
2. Puede cerrar la sesión de estos archivos en un directorio de trabajo o colocarlos en la carpeta Windows SDK\bin.
3. Adquirir el certificado Firma Cross Code Microsoft para GlobalSign y colocarlo en su directorio de trabajo. 
4. Utilice el comando siguiente para signtool firmar el código:
   
   signtool sign /ac CrossCert.crt /f CodeSign.pfx /p password1234 /tr http://timestamp.globalsign.com/tsa/r6advanced1 filter.sys
   
   Este código coloca un original que incluyen el certificado cruzado, que está marcado con la fecha de acuerdo con RFC 3161. 
5. Siguiente verificar su firma con el comando signtool siguiente.
   
   signtool verify -v -kp
   
   -v es para una salida detallada y kp cheques de acuerdo con criterios de canto modo de controlador del núcleo. 
   
   La salida debe ser similar a este:
   
   
6. Repita el mismo proceso con el archivo de gato.
7. Una vez que el conductor ha sido firmado, se puede instalar el controlador correctamente firmado. 
   Si el controlador está firmado correctamente la pantalla de instalación tendrá este aspecto (Windows 7):​​​​​​​​​​​​​​
   
   

Recursos adicionales

Lista completa de SignTool comandos: 
http://msdn.microsoft.com/en-us/library/8s9b9yaz% 28v = vs.110% 29.aspx

Kernel-Mode Code Signing Tutorial: 
http://msdn.microsoft.com/en-us/windows/hardware/gg487328.aspx 

Las firmas digitales para los módulos del kernel en Windows: 
http://msdn.microsoft.com/en-us/library/windows/hardware/gg487332.aspx