开始，运行输入 sigverif 通过检查数字签名就知道是不是ms的了。 主要使用Win32API实现验证应用或驱动程 WinVerifyTrust API。如果该API被Hook有没有其他方法验证应用或驱动程序是否通过微软签名？如果仅仅是被挂钩了IAT，那么可以直接通过函数指针调用。 如果是像Detours那样用jmp改写了函数头，可以通过读取WinTrust.dll中WinVerifyTrust的实现位置，恢复函数头的机器码。 不知道使用CryptoAPI，再使用