<div dir="ltr">Hi Klaus,<div><br></div><div>thnx a lot for your advice. It worked out perfectly well.</div><div><br></div><div>Mikhail</div></div><br><div class="gmail_quote"><div dir="ltr">On Tue, Mar 21, 2017 at 9:57 PM Klaus Espenlaub <<a href="mailto:klaus.espenlaub@oracle.com">klaus.espenlaub@oracle.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

  <div bgcolor="#FFFFFF" text="#000000" class="gmail_msg">

    Hi Mikhail,</div><div bgcolor="#FFFFFF" text="#000000" class="gmail_msg"><br class="gmail_msg">

    <br class="gmail_msg">

    <div class="m_5085873986990514496moz-cite-prefix gmail_msg">On 21.03.2017 19:03, Mikhail Kovalev

      wrote:<br class="gmail_msg">

    </div>

    <blockquote type="cite" class="gmail_msg">

      <div dir="ltr" class="gmail_msg">

        <div class="gmail_msg">Hi,</div>

        <div class="gmail_msg"><br class="gmail_msg">

        </div>

        <div class="gmail_msg">we are trying to make a VirtualBox build for Windows 10

          anniversary update. We did sign all the drivers (all .sys

          files) at the Microsoft Dev portal and the installation goes

          through without a problem. </div>

        <div class="gmail_msg">However, when trying to start a VM, we always get an error

          "Failed to load VMMR0.r0" with error code

          "VERR_LDR_IMAGE_HASH".</div>

      </div>

    </blockquote></div><div bgcolor="#FFFFFF" text="#000000" class="gmail_msg">

    It also needs to be signed, including page hash... suspect that the

    partially misleading error code is due to the lack of page hashes,

    but there's more, see below.</div><div bgcolor="#FFFFFF" text="#000000" class="gmail_msg"><br class="gmail_msg">

    <blockquote type="cite" class="gmail_msg">

      <div dir="ltr" class="gmail_msg">

        <div class="gmail_msg">The "vmmr0.r0" file is signed with our SHA2 cert (as well

          as all the other installation files are, except for the

          drivers which are dual-signed by our cert and by the Microsoft

          cert from Dev portal). In the Windows audit log I see the

          message that the code integrity check for "vmmr0.r0" failed.

          If my understanding of the code is correct, the file is being

          loaded via "<span style="white-space:pre-wrap" class="gmail_msg">ZwSetSystemInformation". So, does it have to be signed by the Dev portal as well?</span></div>

      </div>

    </blockquote></div><div bgcolor="#FFFFFF" text="#000000" class="gmail_msg">

    Exactly. It goes into the kernel, so the kernel signing rules apply.

    We're not drilling holes into the signature checking rules of the

    Windows kernel.</div><div bgcolor="#FFFFFF" text="#000000" class="gmail_msg"><br class="gmail_msg">

    <blockquote type="cite" class="gmail_msg">

      <div dir="ltr" class="gmail_msg">

        <div class="gmail_msg"><span style="white-space:pre-wrap" class="gmail_msg">But it looks like the Dev portal will only sign the ".sys" files. Could anyone give a hint on a possible solution here?</span></div>

      </div>

    </blockquote></div><div bgcolor="#FFFFFF" text="#000000" class="gmail_msg">

    How about using the low tech solution of renaming the file before

    submitting and renaming it back afterwards? The signature doesn't

    include the filename as such, only the file content...</div><div bgcolor="#FFFFFF" text="#000000" class="gmail_msg"><br class="gmail_msg">

    <blockquote type="cite" class="gmail_msg">

      <div dir="ltr" class="gmail_msg">

        <div class="gmail_msg"><span style="white-space:pre-wrap" class="gmail_msg">Unfortunately we don't have a signing cert that was issued before July 29, 2015, so we cannot use the same "workaround" with the old cert as the Oracle is using now for the VirtualBox releases.</span></div>

      </div>

    </blockquote></div><div bgcolor="#FFFFFF" text="#000000" class="gmail_msg">

    We're happy that we could go with this intermediate step, as we

    already had to do enough magic when our previous cert expired. All

    this dev portal stuff is not easy in big corps. We need to do this

    major miracle soon enough.<br class="gmail_msg">

    <br class="gmail_msg">

    Klaus</div><div bgcolor="#FFFFFF" text="#000000" class="gmail_msg"><br class="gmail_msg">

    <blockquote type="cite" class="gmail_msg">

      <div class="m_5085873986990514496moz-signature gmail_msg">

        <div class="gmail_msg"><span style="white-space:pre-wrap" class="gmail_msg">

</span></div>

        <div class="gmail_msg"><span style="white-space:pre-wrap" class="gmail_msg">Thnx for any help,</span></div>

        <div class="gmail_msg"><span style="white-space:pre-wrap" class="gmail_msg">Mikhail</span></div>

      </div>

    </blockquote>

  </div><div bgcolor="#FFFFFF" text="#000000" class="gmail_msg"></div>

_______________________________________________<br class="gmail_msg">

vbox-dev mailing list<br class="gmail_msg">

<a href="mailto:vbox-dev@virtualbox.org" class="gmail_msg" target="_blank">vbox-dev@virtualbox.org</a><br class="gmail_msg">

<a href="https://www.virtualbox.org/mailman/listinfo/vbox-dev" rel="noreferrer" class="gmail_msg" target="_blank">https://www.virtualbox.org/mailman/listinfo/vbox-dev</a><br class="gmail_msg">

</blockquote></div>