win10 驱动签名已过期或者被吊销为什么还能加载

签名验证应该是可以被禁用的吧？
我记得以前刷机的时候必须禁用这个才能装的上高通的驱动

签名是不能被吊销的，你看到的是证书被吊销了，但微软对代码签名的验证只要你签名的时候证书是有效的并且包含了时间戳，后面验签的时候就不会有问题，好像是这样的。

是证书被吊销
windows 签名校验机制简直太坑,现在网上都可以找到过期证书,这认证机制简直和没有一样

我也觉得 DSE 是个很迷的机制。

以前就有人吐槽过这个，说这个对付恶意软件完全是鸡肋，反倒误伤了一大片正当的个人 /开源软件：
http://www.vbasm.com/blog-4158-34.html
http://www.kernelmode.info/forum/viewtopic.php?t=3322

Win10 1607 的时候，微软说收紧了 DSE，然后某软粉专栏说了这个事情：
https://zhuanlan.zhihu.com/p/21876577
他们拿老版本的 IDM 下载监视驱动做了实验，重现了“兼容性助手”提示“需要数字签名的驱动”的弹窗，但他们的解读不对——表面上弹窗了，实际上 idmwfp.sys 驱动还是加载了。

然而，腾讯他们又确实有报道 Win 10 1607 收紧的 DSE 政策导致反外挂系统（需要跑到内核里和外挂对掐）异常：
http://speed.qq.com/webplat/info/news_version3/147/534/552/553/m15538/201608/492518.shtml

@keyfunc
似乎不是这样。
https://www.leiphone.com/news/201612/APz7iLTuBS4NuGYZ.html
没记错的话，涉事木马驱动没有时间戳，但是仍然可以加载：
https://www.virustotal.com/#/file/094921402ccddecfbf33791faf9b5514844e2e93c0e7da7cc3a99c699adaf773/details

windows 只在安装驱动的时候检查证书，以后怎么样就不管了。

@redsonic 还是会检查的，必须得有签名才给加载，哪怕是吊销 /过期证书。

@acess 你说的是用户空间的应用程序吧，那个确实如此。此外至少 win10 1803 还是不检查内核驱动的签名，我有个 sony md 的驱动没有签名，三年前用过期证书签了一下，现在 1803 还能加载。

@redsonic 我说的是内核驱动啊。你说的那个未签名驱动不就是这样，需要用过期证书签名一下。我的意思是说虽然检查签名，但是没有严格检查吊销 /过期等情况，不管怎样，至少证书过期(且没有时间戳)是不需要联网就能检查出来的，但是微软貌似连这个检查都放松了。

@redsonic
这个帖讨论的基本就是 DSE。你说用户空间，那我也歪个楼:
天翼客户端后来也出了一个更新版，安装包还用原来那个证书签名，但是没有时间戳。那个证书过期后，文件属性里把数字签名点开，就不再显示“签名正常”了，UAC 弹窗也是黄色的。

@acess 嗯，之前误解了你的回复。 其实不光微软，以前的 chrome 浏览器也是不检查吊销状态，就算实际去查了 clr，ocsp 可结果不算数，只有改代码或修改企业部署配置的选项才能强制开启验证。不过我大概猜到了这个问题原因，可能 clr，ocsp 机制不靠谱，误判了要自己背锅。