开始，运行输入 sigverif 通过检查数字签名就知道是不是ms的了。 主要使用Win32API实现验证应用或驱动程 WinVerifyTrust API。如果该API被Hook有没有其他方法验证应用或驱动程序是否通过微软签名？如果仅仅是被挂钩了IAT，那么可以直接通过函数指针调用。 如果是像Detours那样用jmp改写了函数头，可以通过读取WinTrust.dll中WinVerifyTrust的实现位置，恢复函数头的机器码。 不知道使用CryptoAPI，再使用

CryptAPI是微软在Windows系统中嵌入的一套公钥体质，提供对称加密、非对称加密、散列、签名等密码学的借口。Wcrypt2.dcu是把C语言的CryptAPI包翻译为Delphi中的借口文件。