Как проверить цифровую подпись драйверов перед установкой в Windows

Если вы скачали драйвер не из Windows Update, а с сайта производителя, из архива с ноутбука или нашли его вручную, перед установкой имеет смысл проверить цифровую подпись. Это не гарантия, что драйвер идеально подходит и не вызовет сбой, но хороший способ понять: файл действительно от заявленного производителя и не был изменён после подписания.

На 64-разрядных версиях Windows обычные неподписанные драйверы часто не устанавливаются или не загружаются. Поэтому сообщение «Windows не может проверить издателя» — это не формальность, а повод остановиться и проверить пакет.

Что именно проверять в драйвере

Драйвер — это не всегда один файл. В пакете могут быть установщик .exe, каталог безопасности .cat, файл описания .inf, системные файлы .sys, библиотеки .dll и вспомогательные программы. Для проверки подписи нас интересуют в первую очередь не все подряд, а основные файлы, которые Windows будет использовать как драйвер.

Файл Что показывает На что смотреть
.exe Подпись установщика Издатель должен совпадать с производителем устройства или доверенным поставщиком ПО.
.cat Каталог безопасности пакета драйвера Один из главных файлов для проверки. Он связывает INF, SYS и другие файлы в один подписанный пакет.
.sys Подпись самого драйверного файла Хороший знак, если файл подписан производителем устройства или известным поставщиком драйверов.
.inf Описание установки драйвера Сам INF может не иметь отдельной подписи, если он включён в подписанный каталог .cat.

Цифровая подпись подтверждает происхождение и целостность файла. Она не доказывает, что драйвер совместим с вашей версией Windows, не вызовет синий экран и подходит именно вашему устройству.

Начните с источника загрузки

Проверка подписи начинается ещё до запуска установщика. Если драйвер скачан с сомнительного сайта, подпись может быть формально валидной, но издатель будет не тот, которого вы ожидаете.

Нормальные источники:

  • сайт производителя устройства: Intel, AMD, NVIDIA, Realtek, HP, Dell, Lenovo, ASUS, Canon, Epson и т.д.;
  • сайт производителя ноутбука или материнской платы;
  • Windows Update;
  • корпоративный каталог драйверов, если компьютер в организации.

Плохие источники:

  • форумы с вложениями;
  • торренты;
  • сайты вроде «драйверы для всего одним архивом»;
  • файлы, которые кто-то прислал в мессенджере;
  • отдельно скачанные .sys, .cat или .inf с неизвестного ресурса.

Если у вас принтер, сканер, Wi‑Fi-адаптер, звуковая карта или старое устройство, лучше искать драйвер по модели устройства, а не по названию чипа. Например, ноутбук с Realtek Audio может требовать драйвер от производителя ноутбука, а не универсальный пакет Realtek с другого сайта.

Быстрая проверка установщика .exe

Если у вас есть установщик .exe, первым делом проверьте его подпись. Это не заменяет проверку внутренних файлов драйвера, но сразу отсекает часть подозрительных вариантов.

  1. Найдите скачанный файл установщика.
  2. Нажмите по нему правой кнопкой мыши.
  3. Откройте Свойства.
  4. Перейдите на вкладку Цифровые подписи.
  5. Проверьте, что подпись есть, статус нормальный, а издатель выглядит ожидаемо.
  6. Нажмите Сведения и посмотрите цепочку сертификатов.

Если вкладки Цифровые подписи нет, это уже повод насторожиться. Для установщика драйвера от крупного производителя отсутствие подписи — плохой признак.

Но здесь есть нюанс: подпись установщика означает только то, что подписан сам EXE-файл. После распаковки внутри могут оказаться другие файлы. Поэтому для драйверов лучше проверить ещё .cat и .sys.

Основная проверка: каталог .cat и файлы .sys

Для драйверов Windows ключевой файл часто — это .cat. Он называется каталогом безопасности. В нём хранятся хэши файлов пакета: INF, SYS, DLL и других компонентов. Если каталог подписан и хэши совпадают, Windows понимает, что пакет не изменён после подписания.

Как проверить вручную:

  1. Распакуйте архив с драйвером в отдельную папку, например C:\Drivers\Printer.
  2. Найдите файл с расширением .cat. Обычно он лежит рядом с файлом .inf.
  3. Нажмите по .cat правой кнопкой мыши.
  4. Откройте СвойстваЦифровые подписи.
  5. Проверьте статус подписи и имя издателя.
  6. Нажмите СведенияПросмотр сертификата.
  7. Откройте вкладку Состав или Путь сертификации и убедитесь, что цепочка ведёт к доверенному корневому сертификату.
  8. Так же проверьте основные файлы .sys, если они есть в папке.

Для каталога нормальным издателем может быть производитель устройства: Intel, NVIDIA, Realtek, Broadcom, FTDI, WCH и т.п. Также часто встречается Microsoft Windows Hardware Compatibility Publisher. Это не значит, что Microsoft сама написала драйвер; обычно это признак того, что пакет прошёл проверку Microsoft, то есть WHQL/attestation.

Если .inf не имеет отдельной вкладки цифровой подписи, это не всегда проблема. Для многих пакетов подпись находится именно в .cat.

Проверка через PowerShell

Если хотите проверить не один файл, а всю папку с

Оцените статью
PEFile — Безопасность и технологии простым языком