当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 故障实例:USB设备无正确驱动签名

安全基础
威胁同样巨大 基于Telnet协议的攻击
基础知识 XST攻击理论及手法讲解
黑客破解Email账号常用的三种方法
攻防技术:动态IP地址的捕获及其应用
踏雪无痕 浅析黑客避开检测的手段
黑客必学—开启肉鸡终端全攻略
黑客入侵实例 记对Discuz论坛的入侵
浅析无线入侵检测系统 的应用及优缺点
黑客种植木马新方法及防范策略
小规模DDoS(拒绝服务)用Freebsd+IPFW搞定
一次意外的入侵经历-黑冰防火墙溢出攻击
利用“http暗藏通道”大举攻破局域网
黑客如何利用Ms05002溢出找“肉鸡”
看我谋取特权 用漏洞提升计算机控制权限
互联网的巨大威胁 ICMP洪水攻击浅析
实例讲解 黑客入侵论坛各种手段大暴光
入侵技巧 通过“鼠洞”控制你的电脑
黑客攻击揭密-分析选定的网络攻击
打破常规 构造特殊字符进行渗透入侵
安全必知:黑客入侵无线网络常用手段

安全基础 中的 故障实例:USB设备无正确驱动签名


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2010-01-30   浏览: 68 ::
收藏到网摘: n/a

  问题描述:  

  平台:win2ksp4,usb设备在管理员帐户下安装后,不插入设备,切换到user用户下,再插入设备,系统自动寻找驱动,可最后出现拒绝访问的错误提示框,已经在策略(gpedit.msc)里给user用户指派了安装设备权限。如果设备第一次是在管理员帐户使用下,则切换到user权限用户下可以正常使用。  

  问题分析:  

 经过多方面、多角度反复分析,结论如下:  

  要在user下第一次可使用,必须要有正确的驱动签名。  

  理由:  

  Aladdinetoken在user帐户下第一次使用,系统自动安装驱动,以下键KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB\Vid_0529&Pid_0600\5&1f8fd7d0&0&1及其很多子键得以正确创建,当注释其inf文件中签名行CatalogFile  

  [Version]

  Signature=$CHICAGO$

  Class=USB

  ClassGuid={36FC9E60-C465-11CF-8056-444553540000}

  DriverVer=01/04/2006,3.65.24.0

  Provider=%MFGNAME%

  ;CatalogFile=aksup.cat  

  出现与我同样错误,拒绝访问。并且管理员账户下也可以安装。  

  从安装日志setapi.log文件来看,以下为安装日志内容:  

  正在從c:\winnt\inf\oem11.inf安裝區段DriverInstall.NT。此时切换到管理员账户下也能成功安装。  

  為USBToken安裝了一個未簽署或簽章無效的驅動程式(c:\winnt\inf\oem11.inf)。錯誤0x800b0003:所指定的信任提供者不支援或不認得指定給此主題的表單。  

  正在將檔案C:\a\etoken\aksup.sys複製到C:\WINNT\System32\Drivers\aksup.sys。  

  為USBToken安裝了一個未簽署或簽章無效的驅動程式(C:\a\etoken\aksup.sys)。錯誤0x800b0003:所指定的信任提供者不支援或不認得指定給此主題的表單。  

  裝置安裝功能:DIF_REGISTER_COINSTALLERS。  

  已登錄輔助安裝程式。
 
  裝置安裝功能:DIF_INSTALLINTERFACES。  

  正在從c:\winnt\inf\oem11.inf安裝區段DriverInstall.NT.Interfaces。  

  已安裝介面。  

  裝置安裝功能:DIF_INSTALLDEVICE。  

  正在進行USB\VID_0529&PID_0600\5&1F8FD7D0&0&1的完整安裝。  

  正在處理服務新增/刪除區段DriverInstall.NT.Services。
  
  錯誤5:存取被拒。
  
  裝置安裝完成,含有錯誤錯誤5:存取被拒。  

  已經完成預設安裝程式,錯誤:錯誤5:存取被拒。  

  已設定選取的驅動程式。  

  正在安裝USB\VID_0529&PID_0600\5&1F8FD7D0&0&1的NULL驅動程式。  

  裝置安裝完成,含有錯誤錯誤5:存取被拒。  

  错误日志与我的雷同。注意看稍前的日志中提到未簽署或簽章無效的驅動程式。  

  另外aladdin的二个驱动文件都有签名,并且有二个inf文件,一个驱动安装在USB设备类下,一个在smartcardreader设备类下,而我们的二个驱动只一个有签名,并都安装在smartcardreader设备类下。aladdin的分开方式感觉更好。  

  至于采用强制操作注册表,写好必要的键值方法会失败,原因:  

  其一:user账户下很难通过常规或非常规方法提升进程权限为system,至少我还没找到。rootkit的手段都无法凑效。users下不能加载自己的驱动和服务。  

  其二:一些注册键值很难找到规律。这一串(USB\VID_0529&PID_0600\5&1F8FD7D0&0&1)倒是发现可以通过进程的参数得到:

  安装设备驱动时,系统会启动rundll32进程,参数如下:

  C:\WINNT\system32\rundll32.exenewdev.dll,DevInstallUSB\Vid_096e&Pid_0401\5&1f8fd7d0&0&1USB\VID_0529&PID_0600\5&1F8FD7D0&0&1,co-install中即可容易得到。