Патчил стандартные драйвера :

kbdclass.sys (клавиатура)
atapi.sys

Потом корректировал контрольную сумму.

Далее копировал их обратно на место system32/drivers
Через несколько секунд винда(w2k) вываливает окошко:

>> Служба защиты драйверов.
>> В процессе работы произошло изменение драйверов на драйвера неизвестных производителей
>> Для восстановления вставьте инсталяционный диск w2k
>> Отменить Да - Нет

Пару раз нажимаеш Нет - успокаивается.

Можно ли это сделать без шуму и пыли ?
По моему мнению не стоит так травмировать хрупкую психику пользователей :)


Насколько я понял каждый драйвер в винде нынче подписанн циф. подписью вендора.

Можно ли обойти эту проверку ? К примеру патчить библиотеку где она осуществляется ?

Цифровая подпись тут не причем.
Ты верно забыл про dllcash.
Проподченные дрова нужно и туда перезаписать.
Тогда система должна перестать ругаться.

Пуск\Настройка\Панель управления\Система\Оборудование - "Подписывание драйверов"

Four-F

Это уже давно не актуально. Поиск по слову "WFP" по форуму.

Да я всё знаю. Насчет актуальности не понял. Вроде, актуально ещё.

Four-F
Вроде ключик в реестре только до 2k(sp2) включительно действовал..

Задизаблить WFP ты уже не можешь. Я даже куски кода приводил... Да короче, ты и сам все это знаешь. Все эти ключики становятся до лампочки в SP4+.

Цифровая подпись тут не причем.

Очень даже причем !

Ты верно забыл про dllcash.
Проподченные дрова нужно и туда перезаписать.

Пробовал. Не помогает !

Тогда система должна перестать ругаться.

Дело именно в WFP и цифровых сертификатах !

„ Задизаблить WFP ты уже не можешь. “ - разве??? Я борюсь с WFP следующим образом: вешаюсь на NtNotifyChangeDirectoryFile - в процессе Winlogon из SFC.DLL переодически вызывает эту func. Вкратце, смысл в том, чтобы при возникновении изменений в каталоге перехватить Notification, проверить FILE_NOTIFICATION_INFORMATION и если это я подменил/изменил файл - то WFP об этом событии просто не узнаёт :) Могу подробнее, если интересно...

А патчинг SFC.DLL уже не в моде ?

А зачем патчить то ? Тем более из-за одного драйвера отключать всю систему безопасности :)

Раз есть админ , то проще установить соотв. политику и всё :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Driver Signing

Небольшой эксперимент. Все ниже сказанное справедливо для WinXP SP1 и было проделано лично мною.
Берем файлы atapi.sys и kbdclass.sys.
Меняем в каждом из них по три бита, в инструкциях вида xor regX,regX (бит направления).
Правим контрольную сумму. Пишем в dllcash и drivers, предворительно удалив базы драйверов из Driver Cash.
Защита отсылает нас куда подальше, сообщая что какой то нехороший человек заменил системные файлы.
ОК.
Восстанавливаем файлы, перегружаем систему.
Записываем измененные файлы в Driver Cash (driver.cab, sp1.cab), dllcash и drivers.
Система молчит. Перегружаем систему. Система молчит.
Восстанавливаем файлы и перегружаем систему.
Все ОК.
Проделываем первый эксперемент снова и снова получаем пару не ласковых слов от WFP.
Вывод чихала Винда на цифровые подписи.
Если я ошибаюсь поправте меня.

„Вывод чихала Винда на цифровые подписи.“

По-твоему CRC это цифровая подпись ? Думаю тебе стоит посмотреть в \system32\CatRoot\..
Там за семью сертификатами , за восемью печатями , храниться трижды пошифрованный , шестирежды завереный хеш от файла , возле которого лежала та подпись :)
Причём в одном таком каталоге безопасности , храниться дух не одного файла , а от всего cab-архива из которого его выпустили . Есс-но архивы поставляються с этими файл-каталогами (есть утиль такая духозапечатывающая - makecat.exe) . Кстати админ-шаманы могут учуять запах этих духов и мельком взглянуть на содержимое кат-файлов . Главный систем-шаман на это быстренько закроет глаза , а потом будет снова ежеминутно перешифровывать контейнеры в которых храняться зашифрованные ключи для проверки подписи кат-файла и действительности тех тридцатитрёх демонов , которые заверили присутствие там правильных духов кровью своих сертификатов .

Надеюсь никто не испугался :) Просто когда я не всё понимаю , мне это кажеться более таинственным и мрачным ;)
Может это и бред , но кажеться скорее админ-шаман зачихает , чем винда .

„и было проделано лично мною.“

Ты гость-шаманом попробуй такое проделать . А админом то хоть свой ntldr ставь и перегружайся , тут вариантов мне кажеться уйма . И на сколько они будут проще зависит ещё от оси .

А админом то хоть свой ntldr ставь и перегружайся , тут вариантов мне кажеться уйма .

По моему, тут речь и шла о том чтобы с админскими правами заменить нужные драйвера и ось при этом чтобы не ругалась.
Дык она получается и не ругается.
А, про CatRoot я знаю. Да там дествительно хранятся цифровые подписи и что с того.
Если драйвера заменить в Driver Cash, dllcash и drivers, то система на эту замену не реагирует, во всяком случае открыто. Никаких сообщений не выдает. Ругаться она начинает если удалить базу драйверов из Driver Cash.
То есть, подпись она действительно проверяет, но если неподписанный файл или файл с неверной подписью лежит во всех выше указанных местах, система закрывает глаза на результаты такой проверки. На мой взгляд получается именно так.
PS Конечно с заявлением „Вывод чихала Винда на цифровые подписи.“ я немного погорячился.