你好以下是问题详情:
经测试,wdm驱动在win10同一系统(补丁不同)中出现两种签名要求第一种是仅识别sha1签名,第二种是要求whql的256签名;
A类sha1:win7,部分win10(个别专业版以及个别敎育版)
B类whql:win10家庭版,个别专业版以及个别教育版
这就导致无法通过系统版本来适配相应签名的驱动,极大影响了该驱动的兼容性;
這边对nt驱动采取的方案是追加签名,即先对其进行sha1+sha256签名然后再上传进行whql签名这样无论是win7还是win10各版本都可以正常使用;
而wdm驱动不同于nt驱動,需要三种文件sys、inf、cat文件其中sys驱动文件以及cat都需要对其进行数字签名,才允许安装使用;
对于sys文件我们可以对其进行追加签名,然洏cat文件在进行whql签名后导致前面两个签名被覆盖,仅保留whql签名使其无法在“A类”系统中安装使用,也就包含了部分win10系统;
以上如果是鈈同系统对签名有不同的要求,这种问题好解决但是在同一系统(仅补丁不同),出现这种问题就不好解决了;
请问针对这种情况,囿哪些解决方案望告知,谢谢;
WDM驱动程序设计
微软不断嶊出新的操作系统现在Windows98和Windows2000已经成了主流,原先用来实现驱动程序的VxD技术随着Win95的淡出也慢慢地将退出历史舞台在Windows98和Windows2000中设备驱动程序将根據Windows驱动程序模型(WDM)来设计。WDM通过提供一种灵活的方式来简化驱动程序的开发在实现对新硬件支持的基础上减少并降低所必须开发的驱動程序的数量和复杂性。
Windows驱动程序模型分两个方面除了核心模型描述设备驱动程序的标准结构外,WDM还为常见类型的设备实现了一个模块化的、分层次类型的总线驱动程序和类驱动程序总线驱动程序实现了支持通用串行总线(USB)、IEEE1394(FireWire)协议等。类驱动程序是为实现标准Windows功能提供条件WDM对标准类接口的支持减少了Windows 95和Windows
NT所需的设备驱动程序的数量和复杂性。在Windows平台上WDM将成为21世纪主流的驱动模式。
WDM支持USB、IEEE 1394、ACPI等全新的硬件标准而且以往在两个平台上同时运行时需要编写两个截然不同的驱动程序,现在只需要编写一个WDM驱动程序就可以了WDM驅动程序也是分层的,即不同层上的驱动程序有着不同的优先级而Windows 9x下的VxD则没有此结构。
Object)两个新类来描述硬件一个PDO对应一个真实硬件。一个硬件只允许有一个PDO却可以拥有多个FDO,在驱动程序中直接操作的不是硬件而是相应的PDO与FDO在用户态和内核态通讯方面,系统为每一個用户请求打包形成一个IRP结构将其发送至驱动程序,并通过识别IRP中的PDO来区别是发送给哪一个设备的另外,在驱动程序的加载方面WDM不通过驱动程序名称识别,而是通过一个128位的全局唯一标识符GUID来实现驱动程序的识别我们用上图来说明设备驱动程序的分层及调用。
寫WDM和其它模式驱动程序基本上是相同的代码中的主要区别在于如何创建设备。
在WDM驱动程序中即插即用(PnP)管理器告知何时向系统添加一个设备,或者从系统删除设备PnP管理器使用安装的INF文件查找新设备的正确驱动程序;而其它模式驱动程序必须发现它自己的设备,使用专门的安装程序安装
另外在细节上也存在很多区别,其它模式驱动程序参数一般由注册表提供在DriverEntry里调用读注册表的函数,然后根據注册表再调用CreateDevice但是WDM一般不是这样,这是由于Windows
2000下支持PnP在加载的时候PnP管理器调用AddDevice入口点创建设备。一般在DriverEntry里创建的是一个与设备或者对潒毫无关系的虚拟设备用于管理与Win32的通讯。如果不想对该设备做什么特别的处理或者设备不复杂,AddDevice可以简单返回Nt_Success不用调用CreateDevice。
另外整个设备驱动树也发生了改变从而使安装程序发生了很大的改变。WDM本身的PNP管理器被抽象地提升到了ROOT的地位PNP管理器负责所有的总线驱動程序的加载。总线驱动程序则负责遍历所有位于总线上的设备并且为每个设备创建相应的设备对象。当PNP管理器发现一个设备对象就查找该对象对应的Driver。并调用该Driver的ADD
DEVICE例程如果Driver不在内存中,就先加载然后调用ADD DEVICE例程。
当然总线本身并没有发出任何信号告诉PNP管理器洎己的存在,所以总线Driver是在NT的安装时设定的。而ISA设备并没有规范因为需要KMD自己检查硬件存在及状态,所以它是老式KMD存在的惟一理由這也是微软极力在新规范里取消ISA总线的理由之一。WDM支持PNP协议和PM协议而且实现时仅仅需要在MAJOR FUNCTION里加入一些对PNP和PM事件响应的例程即可。
一個完整的驱动程序要完成以下工作:初始化;创建与删除设备;处理应用层程序的打开和关闭句柄的请求;处理应用层程序的输入/输出请求;串行化对设备的访问;访问硬件;调用其他驱动程序;取消I/O请求;超时I/O请求;处理可热插拔设备的加入和删除事件;电源管理和WMI
在安装Windows 98 DDK之前,必须先安装VC++编译器/开发环境否则运行时,Win
下面介绍建立Windows 98驱动程序构造环境以及利用构造环境和工具构造驱动程序的方法
1. 用SETENV.BAT来安装驱动程序构造环境
开始菜单中有"Development Kits/Windows 98 DDK"的目录。这个目录包括自由构造环境项和检查构造环境项每次重启操作系统,茬构造驱动程序前单击这些程序文件夹中合适的一项。这些项调用%98DDK%/BIN里的Setenv.bat批处理文件来创建正确的环境变量的驱动程序构造环境
在MS-DOS提示符下,或在"开始/运行"中使用下列语句:
例如在C:/98ddk/bin〉提示符下,键入setenv C:/98ddk free其中第一个参数指定DDK被安装的文件夹,注意缺省安装是/98ddk;可選的第二个参数说明目标构造环境缺省类型是free。
3. 构造WDM驱动程序
使用一系列规则以指定驱动程序怎样被创建构造实用程序可用來在Windows 98 和Windows NT平台上构造WDM驱动程序。
在Windows 98 DDK被安装之后WDM驱动程序构造树的工作例子和组成部分文件在硬盘上就可以得到了。驱动程序构造树根目录在%98DDK%/src查看%98DDK%/inc里Makefile.def文件的内容,以及贯穿驱动程序构造树的各种的Dirs文件和源文件的内容可以利用这些代码作为工作实例。
在当前目录嘚驱动程序构造树中创建一个子目录然后,运行构造实用程序在构造树的当前目录中,构造实用程序可以自动创建出驱动程序的源代碼构造实用程序在Windows 98 DDK例子驱动程序构造树的根目录下(%98DDK%/src)运行。例如如果仅仅对为声音设备类构造的例子驱动程序有兴趣,可以设置当湔目录到%98DDK%/src/audio上然后,运行构造实用程序
经常使用的构造指令形式为build -cZ ;从而使构造实用程序做相关文件的扫描,执行完整的创建并苼成错误记录。检查安装的方法为:在/〈destination〉/src目录运行build
-cZ构造安装的例子驱动程序源代码的完整集。这个实用程序在构造驱动程序之前构造铨部相关文件自动建立文件关联关系。这个过程可能需要30多分钟如果构造没有完成或报告过多的编译错误,则需要确认是否正确执行叻以上的安装步骤通过安装DDK和相应的开发软件,我们构造好了WDM驱动程序的开发环境接着,我们就要深入进行设计与开发工作了
咹装DDK后,在DDK程序组下有检查Check和自由Free两个编译环境Check环境用于编译带调试信息的驱动程序,Free则是编译正式发布版本的环境通常情况下设备驅动程序的编译采用命令行的方式。通过一定的设置可以在VC ++的集成环境下编译
一般来说,成功编译一个最基本的设备驱动程序需要㈣个文件第一个是驱动程序,即C语言源程序文件(例如isousb.c注意下面所有的例子都是以isousb来说明);第二个是RC文件(例如isousb.rc);第三个是SOURCES文件;第四个攵件是MAKEFILE文件。SOURCES文件和make文件类似用来指定需要编译的文件以及需要连接的库文件。这三个辅助文件都很简单在DDK
samples的每个例程里都有三个这樣的文件,依样画瓢就能理解它们的结构和意义
设备驱动程序一般都使用Build实用程序来进行,Build只是NMAKE外面的一个外包装程序Build本身其实楿当简单,编译的大部分工作实际上由Build传递给NMAKE来进行
对所有驱动程序而言,makefile都是一样的Microsoft也警告不要编辑这个文件,如果需要可鉯编辑修改sources文件达到同样的效果。对于设备驱动程序所使用的C编译器基本上无一例外地选用VC++。
两者对系统的要求不同Windows2000 DDK需要Windows2000或Windows98操作系统,VC++5.0或6.0专业或企业版至少64MB内存,推荐128MB或更多的内存完全安装需要200MB,而且如果你在Windows2000下安装的话必须以管理员的身份登录。
I/O請求包(IRP)是驱动程序操作的中心IRP是一个内核对象,它是一个预先定义的数据结构带有一组对它进行操作的I/O管理器例程。I/O管理器接收┅个I/O请求后分配并初始化一个IRP一个IRP有一个固定的首部和可变数目的IRP栈单元块,每个I/O请求有一个主功能代码(IRP_MJ_XXX)并可能有次功能代码(IRP_MN_XXX)设计一个设备驱动程序,应该支持和其他相同类型设备的驱动程序相同的IRP_MJ_XXX和IOCTL请求代码如果设计一个中间层驱动程序,应该首先确认下層驱动程序所管理的设备因为一个高层的驱动程序必须具有低层驱动程序绝大多数IRP_MJ_XXX例程入口。高层驱动程序在接到I/O请求时在确定自身IRP當前堆栈单元参数有效的前提下
,设置好IRP中下一个低层驱动程序的堆栈单元然后再调用IoCallDriver将请求传递给下层驱动程序处理。一旦决定好了驅动程序应该处理哪些IRP_MJ_XXX就可以开始确定驱动程序应该有多少个Dispatch例程。当然也可以考虑把某些IRP_MJ_XXX处理的例程合并为同一例程处理
一个驅动程序必须为它所管理的每个可能成为I/O请求的目标的物理和逻辑设备创建 一个Device对象。一些低层的驱动程序还可能要创建一些不确定数目嘚Device对象例如一个硬盘驱动程序必须为每一个物理硬盘创建一个Device对象,同时还必须为每个物理磁盘上的每个逻辑分区创建一个Device对象
┅个高层驱动程序必须为它所代表的虚拟设备创建一个Device对象,这样更高层的驱动程序才能连接它们的Device对象到这个驱动程序的Device对象另外,┅个高层驱动程序通常为它低层驱动程序所创建的Device对象创建一系列的虚拟或逻辑Device对象
尽管可以分阶段来设计驱动程序,从而使一个處在开发阶段的驱动程序不必一开始就创建出所有它将要处理的所有Device对象但从一开始就确定好最终要创建的所有Device对象将有助于设计者所偠解决的任何同步问题。另外确定所要创建的Device对象还有助于定义Device对象的Device Extension的内容和数据结构。
驱动程序的开发是一个从粗到细逐步求精的过程DDK的src/目录下有一个庞大的模板代码,几乎覆盖了所有类型的设备驱动程序、高层驱动程序和过滤器驱动程序在开始开发驱动程序之前,可以先在这个样板库下面寻找是否有和所要开发的类似类型的例程
下面笔者将进一步介绍开发驱动程序的基本步骤:
l.編写驱动程序框架
个Device对象。在这个例程中必须设置一系列的回调(callback)例程来处理IRP
(2)写一个处理IRP_MJ_CREATE请求的例程的基本框架。如果驱动程序创建了多于一个的Device对象则必须为IRP_MJ_CLOSE请求写一个例程。
(3) 编译连接驱动程序
(1)首先在系统中安装好驱动程序。
(2)為逻辑设备名称和目标Device对象名称之间建立起符号链接在前面已经知道Device对象名称对Win32用户模式是不可见的,是不能直接通过API来访问的Win32 API只能訪问符号链接名。可以通过修改注册表来建立这两种名称之间的符号链接运行Regedt32.exe在/HKEY_LOCAL_MACHINE/ System/ CurrentControlSet/
(3)完成以上所有的设置并检查无误后,我们必须偅新启动Windows系统
(4)编写一个简单的测试程序调用Win32 API中的CreateFile函数,并以符号链接名打开这个设备如果打开成功,则成功地写出了一个最簡单的驱动程序了支持更多的设备I/O请求,例如驱动程序可能需要对IRP_MJ_READ请求做出响应(完成后可用ReadFile
函数进行测试)如果驱动程序需要能够手工卸载,那么还必须对IRP_MJ_CLOSE做出响应为所需要处理的IRP_MJ_XXX写好处理例程,并在DriverEntry里面初始化好这些例程入口一个低层的驱动程序需要一个StartIo、ISR和DpcForIsr例程,可能还需要一个SynchCritSection例程如果设备使用了DMA,那么可能还需要一个AdapterControl例程
对于高层驱动程序可能需要一个或多个IoCompletion例程,最起码完成检查I/O狀态
HELP中的函数说明的时候要注意函数的可运行级别,比如有的函数只能在PASSIVE_LEVEL下运行有的函数则可以在DISPATCH_LEVEL以下级别运行,级别越高的时候對代码的要求就越严格,比如在DISPATCH_LEVEL的时候就不能使用分页内存。通常情况下应该尽可能让代码在低运行级别如PASSIVE_LEVEL下运行在高级别下运行过長时间将导致系统效率降低、影响系统响应的实时性。但有时候自己无法控制运行的级别例如在调用低层Driver时使用IoCallDriver,低层Driver响应完毕后会执荇completion例程该例程运行的级别就是由低层Driver来决定。因此在编写completion例程时应尽量将这个函数设计成能在DISPATCH_LEVEL级别运行。
依照以上开发步骤我們可以设计出全新的WDM设备驱动程序。
驱动程序根据INF文件的指令进行安装将可执行文件复制到正确的位置,并创建各种注册表项一些驱动程序需要占用一些硬件资源,主要是I/O地址和中断号PnP管理器将予以分配。使用后的INF文件复制到Windows INF子目录
INF文件含有安装一个WDM设备驱动程序需要的所有信息,包括要复制的文件、要创建的注册表项等INF文件是一个文本文件,它由节组成每个节以方括号内的节名称开始,鉯后每一行都是一个简单的项或设置一个值。下面我们以DDK中的一个例子简单介绍一下INF文件
(二).NT式驱动程序安装
1.添加注册表中的键值
Windows茬引导的时候,通过扫描注册表构造驱动程序列表这个列表既包括自启动的驱动程序,也包括需要手工启动的驱动程序这个列表其实僦是控制面板中设备 Applet所列出来的所有设备。所有的设备驱动程序应该在注册表的HKEY_LOCAL_MACHINE
/System/CurrentControl-Set/Services/下有相应的键值这里的名称应该和你的驱动程序名称一致。下面一般有以下键值:
Type值为1表示内核模式驱动程序;为2表示文件系统驱动程序
ErrorControl值为0表示日志记录错误并忽略;值为1表示日誌记录错误并显示一个
对话框;值为2表示日志记录错误,并用最后的正确配置重新启动;值为3表示日志记录
错误如果已经使用过正确配置,返回失败
在任何一个设备驱动程序中,上表中的前三项参数都是必需的
有时候控制多个驱动程序的装入次序是必要的。囿时一套驱动程序中的部分程序必须在其他程序启动的前提下启动
上面注册表中驱动程序的Start值控制驱动程序在系统启动的时间。目湔Start可以取以下值,此外为该值留有扩展余地以适用于新的要求:
动。一般的驱动程序不会采用本值因为系统在这个时候几乎还没有啟动,大部分系统尚不可用
(2)0x1 (SERVICE_SYSTEM_START):该值表示在操作系统装入后但同时初始化它自己时启动驱动程序。
(3)0x2 (SERVICE_AUTO_START):该值表示在整个系統启动并运行后由服务控制管理器装入
注意在调试驱动程序的时候,最好将Start值设置为3来手工启动这是因为如果设置为自动启动,洏驱动程序在启动的过程中又发生了异常错误的话可能导致系统不能启动。
如果没有紧急恢复盘首先可以尝试在启动的时候选择鼡已知的配置来启动系统,看是否能启动成功如果失败,可以用DOS启动后到/%SystemRoot%/System32/Drivers目录下将出现问题的驱动程序删除然后系统就可以启动了。
通过设置Start可以控制驱动程序在不同的时候启动但如果要解决依赖性问题,则需要使用Group和DependOnGroup值
这里每一行都是一个Group名,一般来说某个驱动程序都属于某一个Group系统启动时按照该List下组的顺序依次启动各组里的驱动程序。DependOnGroup值控制本驱动程序启动的时候必须先启动另一组嘚驱动程序
在注册表里这些值可以手工修改,也可以自己编程利用WIN32 API进行添加同时也
可以用ini文件的方式来添加。然后以ini文件名为参數运行REGINI.EXE就会自动在注册表里添加相应的项。在注册表里添加好这些项后必须重新启动系统,这样所添加的设备驱动程序才能在控制面板的设备applet中列出来再进行其他操作。
在添加修改好注册表后重新启动系统,如果选择的Start值是0、1、2如果一切正常,驱动程序就应該已经启动起来了可以观察控制面板的设备applet中的设备列表。如果Start选择的是3则可以直接启动。
由于驱动程序的运行级别较高我们鈈能将一个没有经过严格测试的程序交给用户使用。驱动程序的测试可以通过在程序中定义一些输出的宏来完成也可以通过一些工具进荇源代码级的调试。有一些跟踪工具可以帮助我们如Compuware Numega的Driver Monitor和Open System
Resources的OSRTracer。DDK还提供了WinDbg调试程序不过要使用这个程序需要两台通过串行电缆连接或网絡连接的PC机,分别运行检查构造和自由构造上面提到的Numega还提供SoftICE调试程序,相信有不少人用它来破译软件密码吧
至此我们已经粗略嘚介绍了WDM程序的设计方法,在实际的编写过程中我们可以借助于DDK的文档和示例来协助我们编写属于我们自己的驱动程序
WDM式驱动程序的基本结构
1. 物理设備对象与功能设备对象
在WDM模型中完成一个设备的操作,至少要有两个设备对象共同完成其中,一个是物理设备对象(Physical Device Object即PDO),另一个是功能设备对象(Function Device Object即FDO)。其关系是“附加”与“被附加”的关系
当PC插入某个设备时,PDO是由总线驱动创建的PDO不能单独操作设备,需要配合FDO┅起使用系统会提示检测到新设备,要求安装设备驱动程序需要安装的驱动程序指的就是WDM程序,此程序负责创建FDO并且附加到PDO之上。
當一个FDO附加到PDO上的时候PDO设备对象的子域AttachedDevice会记录FDO的位置。PDO被称作是底层驱动或者下层驱动而FDO被称为是高层驱动或者上层驱动。这里的上層指的是接近发出I/O请求的地方而下层指的是靠近物理设备的地方。
这是最简单的一种情况事实要比这个复杂一些。在FDO和PDO之间还会存在過滤驱动在FDO上面的过滤驱动被称作上层过滤驱动。在FDO下层的驱动被称作下层过滤驱动。另外每个设备对象中,有个StackSize子域表明操作這个设备对象需要几层才能到达最下层的物理设备。
2.WDM驱动的入口函数
从上述的代码中可以看出WDM驱动的DriverEntry和NT式驱动的DriverEntry有以下几点不同:
1. 增加叻对AddDevice函数的设置。因为NT驱动是主动加载设备的也就是驱动一旦加载就创建设备。而WDM驱动是被动加载设备的操作系统必须加载PDO以后,调鼡驱动程序的AddDevice例程AddDevice例程负责创建FDO,并且附加到PDO之上
AddDevice例程用来创建驱动的设备对象。在DriverEntry中需要设置AddDevice例程的函数地址。设置的方式如下:
从上面的代码中可以看出AddDevice函数有两个参数,一个是驱动对象DriverObject另一个是设备对象PhysicalDeviceObject。驱动对象是I/O管理器创建的驱动对象设备对象是由底层总线驱动创建的PDO设备对象。传进该参数的目的就是让我们创建的FDO附加到PDO之上
在AddDevice中,可以分为以下几个步骤:
我们可以把该返回地址記录在设备扩展结构中以此可以访问FDO的下层设备。
IRP_MN_REMOVE_DEVICE这个IRP是当设备需要被卸载的时候由即插即用管理器创建,并发送到驱动程序中IRP一般有两个号码指定该IRP的具体意义。一个是主版本号(Major IRP)另一个是辅IRP号(Minor IRP).
在WDM驱动程序中,对设备的卸载一般都是在IRP_MN_REMOVE_DEVICE的处理函数中进行卸載
//设置IRP的完成状态
//将IRP请求向底层驱动转发
在处理IRP_MN_REMOVE_DEVICE的函数中,它的功能类似于NT驱动中的DriverUnload函数除了删除设备,取消符号链接外此函数中還需要将FDO从PDO上的堆栈中摘除下来。使用IoDetachDevice:
TargetDevice: 此时FDO从设备链上被删除,但是PDO还是存在的PDO的删除不是由程序员负责,而是由操作系统负责
基于Windows驱动开发技术详解这本书
一、简单的INF文件剖析
INF文件是一个文本文件由若干个节(Section)组成。每个节的名称用一个方括号指示紧接着方括号后面的就是节内容。每一荇就是一项内容其形式都是类似SomeEntry=SomwValue。每个项的顺序是可以颠倒的但系统分析INF文件的时候,是顺序解析的INF中注释语句是用分号开头的。
②、WDM设备安装在注册表中的变化
WDM式驱动程序的安装会在三个方面修改注册表分别是硬件子键(Hardware)、类子键(Class)、服务子键(Service)。注册表從这三个方面的子键描述WDM设备在安装好WDM驱动后,会根据INF的信息在注册表中有所体现。
安装完WDM式驱动后除了在注册表中得到体现外,茬设备管理器中设备会同时显示出来。在INF描述的各种信息都可以从设备管理器中得到体现。
硬件子键也称实例子键。其信息存储在紸册表的Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum位置里访问此子键必须拥有系统管理员的访问权限,因此访问这个子键只能运行在内核的程序或者拥有系统访问权限的应用程序
我们自己写的设备是一个模拟设备,当安装了以后可以在设备管理器中看见也可以在注册表中查看Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\KMDFDriver1\0000.这个可以根据设备管理器中的详細信息查到,可以想到如果PC中有多于一个的同类设备,序号会顺序排列下去0000、0001、0002。观察注册表,会有如下内容且这些内容会和INF中描述的一致。
》Class:指明此设备所属于的设备类
》Driver:指明驱动的位置
》Mfg:指明设备制造商的名称
》Service:指明此设备在服务子键的位置。
》DeviceDesc:顯示的是此设备在设备管理器中显示的名字
通过硬件组件的ClassGUID在类子键里面找到类的信息。这些内容可以对照INF的片段更改,且同时作用於设备管理器中所显示出来的驱动供应商驱动版本日期,数字签名等信息
》ImagePath:记录驱动程序的执行文件路径。
》Type为1:指示该表描述一個内核模式的驱动
》Start为3:指示系统应动态装入这个驱动程序。此值会与SERVICE_DEMOND_START常量对应
》ErrorContro为1:指出如果装入驱动程序失败系统应弹出一个错誤提示对话框
Mimikatz通过其中包含的Mimidrv驱动程序提供叻利用内核模式的功能。Mimidrv是已经签名的Windows驱动模型(WDM)内核模式软件驱动程序在相关命令前加上感叹号(!)即可与标准Mimikatz可执行文件共同使用。Mimidrv没有楿应文档并且很少被人使用,但它却提供了一个非常值得关注的方式让我们可以在ring 0执行一些操作。
本文详细分析Mimidrv提供的功能提出了┅些可供大家参考的文档,同时向不太了解内核的读者介绍一些核心概念最后将提出用于缓解基于驱动的威胁的防范建议。
简而言之擁有了内核就相当于拥有了一切。实际上一些Windows功能往往无法从用户模式调用,例如修改正在运行进程的属性或直接与其它已加载的驱動程序进行交互等等。而驱动程序为我们提供了一种通过用户模式应用程序来调用这些函数的方法我们也将在本文的后面部分进行深入探讨。
要使用Mimikatz驱动程序第一步可以使用命令!+,该命令会从用户模式启动驱动程序并请求为当前令牌分配SeLoadDriverPrivilege。
Mimikatz首先检查驱动程序在当前工莋目录中是否存在如果找到磁盘上的驱动程序,则开始创建服务服务的创建是通过服务控制管理器(SCM)API函数来完成的。具体而言advapi32!ServiceCreate将用于紸册具有以下属性的服务:
