天下網吧消息,日前,央視新聞頻道CCTV-13報道稱目前俄羅斯境內出現無法正常下載 Windows 10 和 Windows 11 系統的現象引起了廣泛的關注。另外,根據俄羅斯國內媒體6月19日的報道,俄羅斯出現無法下載 微軟Windows 10 和 Windows 11 系統安裝程序ISO鏡像的情況。具體情況是,相關下載頁面出現404錯誤:
但是這個不影響之前已經安裝正常使用的微軟操作系統Win11和Win10以及其他版本的微軟操作系統,目前只是下載頁面404的錯誤,其他并無影響。
天下網吧了解到,今年早些時期,俄羅斯曾經解封了國內某網站,這網站以提供各種系統和軟件以及各種好萊塢影視的盜版下載為主。這其中就包括了提供Windows盜版系統的下載。
對此,天下網吧一些用戶調侃到可以去俄羅斯帶個U盤推廣中國流行的網吧無盤系統。
一、 現象描述
Nvidia顯卡27.27.x.x驅動更新后,無盤PNP早前自動安裝顯卡驅動的辦法不能完整安裝CUDA功能(越來越多的游戲使用了CUDA功能),其現象表現為顯卡驅動信息顯示未簽名,驅動文件顯示不全,CUDA相關DLL加載不起, 分別如下幾圖所示:
二、 現象初探
首先判斷與注冊表或文件提取不全有關,通過實際安裝比對,發現有些文件的路徑相關值“%13%”目錄寫的不正確,也有些注冊表缺失。修正后仍發現CUDA功能顯示灰色,后發現WIN10驅動安裝會把驅動信息寫入DRIVERS注冊表(這是之前WIN7沒有的現象),DRIVERS注冊表文件在C:\Windows\System32\config目錄下,文件名為drivers。如下圖:
如果存在該文件,系統啟動后會將此注冊表文件自動加載到注冊表中,如下圖:
這時自然考慮也把該注冊表中的相關內容提取出來,在無盤系統啟動前PNP時把其導入到鏡像系統注冊表中,同時也考慮了把ENUM\PCI\下設備的Properties中各鍵值內容所指向的設備INF文件名都修改成自定義的名字(類似OEMnnn.inf),也把驅動INF修改為此名字并拷貝到鏡像系統目錄下(模擬驅動安裝,確保驅動注冊表和文件對應)。然而,這些都做完整后發現CUDA功能仍然不能使用,對比手動安裝與無盤PNP,發現無盤上出現了上面圖(一)和圖(二)的現象,這時懷疑與ENUM\PCI\下設備的Properties中鍵值缺失或不正確有關。經過對比Properties,發現有一個屬性值比較奇怪,如下:
此屬性值中的那個HASH值在不同顯卡(或設備)上是不一樣的(根據后面的分析如果用做提取的顯卡和其它顯卡是有可能此值剛好一樣,這樣提取出的固定值就剛好能正確PNP這兩塊顯卡)。這時一個棘手的問題出現了,如何能得到或生成這個HASH,或者說這個HASH從哪里來的?
三、 分析試驗
思路斷了,不知道怎么辦了!幸運的是經過試驗發現了一條線索,最終成為解開這個謎題的鑰匙。通過使用dxdiag程序導出系統信息時發現導出的文件中保存了上面所說的Properties的那個鍵值,并且這個鍵值有一個名字。
好嘛,到此我們至少知道了該屬性的名字是Driver Strong Name,以前還真沒聽說過啊,Baidu, Google, Yandex一下,沒有發現此神秘屬性的介紹,但是發現有一些人在詢問其它問題時貼出一setupapi.dev.log供人參考分析問題,神奇的是在這個日志里也有類似Driver Strong Name的日志,這時就來了精神!
通過setupapi.dev.log很容易得出結論,Strong Name在Setupapi.dll(Windows驅動安裝查詢關鍵模塊)有出現!IDA搬出搜尋,果然幾個函數與此有關,分別是:
既然StrongNameFromDriverNode這個函數如此直接,我們就直接F5此函數來看:
由IDA很容易得出結論:前面所講的HASH值由兩部分組成,每一部分是對一個特定字符串進行HASH(DWORD值),最后把兩個HASH值都按十六進制補零轉換成字符串拼到一起。此時問題轉換為這兩個字符串分別是什么東西呢,猜是不大容易對得上的,能調試上直接看寄存器不是更香嘛!如何調試才能斷到StrongNameFromDriverNode呢,開始嘗試使用顯卡的安裝程序設置斷點,并無反應,后來發現安裝程序有多個步驟,中間會運行一個drvinst.exe的程序,用procmon.exe監控發現只有在它的線程堆棧上發現了setupapi.dll的蹤跡,這時考慮可能只有真正的設備安裝時才有可能調用StrongNameFromDriverNode。那么要使用顯卡安裝程序來斷可能還有些麻煩,因為要抓到drvinst.exe啟動的時機不是太方便。后想到可以同理直接在設備管理器里卸載網卡設備再更新驅動來調試。好! 打開設備管理器(mmc.exe),windbg祭起,attach to process選中mmc.exe,在windbg命令行中輸入:
bp setupapi!StrongNameFromDriverNode
g
下一步,在設備管理器里卸載網卡:
再更新網卡驅動:
等待Windows 10系統搜尋網卡驅動并安裝,最后果然斷到StrongNameFromDriverNode處,我們直接在函數中第一個RtlHashUnicodeString前斷下并d poi(@rcx+8)看一下傳進來的第一個參數的內容:
繼續在第二個RtlHashUnicodeString前斷下并d poi(@rcx+8)看一下傳進來的第二個參數的內容:
好,繼續看拼起來的hash值,在StringCchPrintfW后斷下并d @rcx,windbg中看到的結果如下:
是不是正好驗證出前面IDA F5反編后的判斷。好,我們再回到注冊表來觀察一下看是否能對得上:
至于%realtek%及%rtl8168.devicedesc%是什么,相信熟悉INF的同學都不會陌生吧。
四、 驗證
計算得到property的hash值后還需要再次確認下若修改為設備對應的hash后是否設備簽名及CUDA等功能正常了。順便在這里提一下這個屬性 {83da6326-97a6-4088-9453-a1923f573b29}>計算得到property的hash值后還需要再次確認下若修改為設備對應的hash后是否設備簽名及CUDA等功能正常了。順便在這里提一下這個屬性 {83da6326-97a6-4088-9453-a1923f573b29}\0003在Windows內部的名字就是DriverNodeStrongName: