• Elam 与 保护反恶意软件服务

    一、

     Microsoft 官网介绍 https://docs.microsoft.com/en-us/windows/win32/services/protecting-anti-malware-services-

    参考网址 https://blog.tofile.dev/2020/12/16/elam.html 它的代码在:https://github.com/pathtofile/PPLRunner

    二、开发阶段注意事项

    (1)目标机可以用 测试模式启动  bcdedit /set testsigning on 重启生效。

     生成签名证书过程:

     Windows_Engineering_Guide_for_Antimalware_Integration_with_Windows_v2.11.pdf 里面有标准流程(第11章节)

     

    Testing & Development 

    To create a suitable test signature for use with your ELAM driver during development and testing, please  follow the instructions below.

    1. bcdedit /set testsigning on 

    2. makecert.exe -r -pe -a sha256 -len 2048 -eku 1.3.6.1.5.5.7.3.3,1.3.6.1.4.1.311.61.4.1 -n CN=Foo - sv elam.pvk elam.cer 

    3. pvk2pfx.exe -pvk elam.pvk -spc elam.cer -pi <Password entered during makecert prompt> -spc  elam.cer -pfx elam.pfx 

    4. signtool sign /fd sha256 /f elam.pfx /p <Password entered during makecert prompt> elam.sys 

    (2)服务程序必须是64bit的(windows 11系统上),我这边是用delphi10.4.1 开发的服务程序,UpdateProcThreadAttribute 这个api 导出时有些问题,做过相应修改。

           api一定要按照msdn上的声明来,避免踩坑。

      (3)elam驱动 微软有例子:https://github.com/Microsoft/Windows-driver-samples/tree/master/security/elam

     

    三、发布阶段注意事项

    elam的签名是微软负责的,必须经过一系列测试然后再提交给微软去签名,微软官网的介绍流程有兼容以前的考虑,完全按照它的步骤来会有很多坑。

    我参考了 https://www.cnblogs.com/talenth/p/15634364.html,我用的是 VHLK,https://docs.microsoft.com/en-ca/windows-hardware/test/hlk/getstarted/getstarted-vhlk

    安装好微软的Hyper-V虚拟机,直接导入即可。

    \\服务器主机名(或者ip)\HLKInstall\Client\Setup.cmd  执行后 后续命令不需要执行了。

    INI的写法与配置也可以参考: Windows_Engineering_Guide_for_Antimalware_Integration_with_Windows_v2.11.pdf  第11章节的

     

    To create and sign an ELAM driver 

     

    注意: 为保证elam驱动程序 hlk测试正确,要先安装好使用此elam 驱动文件的产品,不然很容易出现找不到elam驱动文件的情况,无法测试下去。

    step example:

     

    1:安装 xxx
    2:开启测试模式,给elam签名,并安装elam驱动 (用.inf安装);并按提示重启.
    3: Powershell 开启 hyper-v 虚拟机.
    4: 虚拟机配置链接 https://docs.microsoft.com/en-ca/windows-hardware/test/hlk/getstarted/getstarted-vhlk
    5:安装客户端.\\服务器主机名(或者ip)\HLKInstall\Client\Setup.cmd

     

     

     

     

       
  • 相关阅读:
    GAN阶段性小结(损失函数、收敛性分析、训练技巧、应用“高分辨率、domain2domain”、研究方向)
    MMD :maximum mean discrepancy
    Chinese-BERT-wwm
    VGG16学习笔记
    jupyter notebook使用技巧--命令行模式以及在Markdown模式使用的操作(4)
    不同领域公开数据集下载
    数据挖掘竞赛,算法刷题网址汇总
    在keras下实现多个模型的融合
    问题集合
    开源测试数据集合
  • 原文地址:https://www.cnblogs.com/luisfan/p/16105756.html
Copyright © 2020-2023  润新知