如何使用武力完整性检查签名用户空间二进制（MSFT交叉签名）

Question

我们曾经在使用VC ++/IntegrityCheck Flag构建的用户空间中运行二进制运行，该标志在可执行文件上设置Image_dllcharacteristics_force_integrity flag（请参见更多在这里wiki/contents/articles/255. forced-integrity-signing-of-potable-cocutable-pe-files.aspx“ rel =” nofollow noreferrer“> s einder ）。我们用旧证书签名，并且运行顺利。现在，我们获得了新的证书，并通过安全检查（事件日志中的Defender提示 +日志）阻止二进制证书。

• 是的，我们在受信任的商店中添加了证书。
• 是的，我们在签名时使用了页面哈希（/pH）开关。
• 如果我们在平台上启用测试标志（通过BCDEDIT），那么

新的证书正常运行，主要区别似乎是Microsoft不会交叉签名。 不再支持交叉签名所以也许有人知道是否有其他选择或如何解决问题？也许 /用户空间代码的IntegrityCheck标志不再有效？

我们在MSFT论坛上发现了同样的问题 https://learn.microsoft.com/en-us/aswers/questions/348812/signed-file-file-fails-file-fails-to-start-to-start-becauce-of-bad-bad-bad-bad-signatur.html 。仍然没有精确的答案如何解决它。