代码完整性事件日志消息
代码完整性强制要求必须对内核模式驱动程序进行签名才能加载。 具体而言,代码完整性在 Windows 的驱动程序加载过程中运行。 每当加载内核模式驱动程序时,代码完整性都会检查其数字签名,以确保其有效且由授权实体签名。
本页介绍代码完整性为报告驱动程序签名状态而生成的各种事件。
可以使用事件查看器查看代码完整性事件:
- 通过“计算机管理”或从命令行运行
Eventvwr.exe来访问事件查看器。 - 导航到以下子文件夹:
Applications and Services Logs->Microsoft->Windows->CodeIntegrity。 - 右键单击某个条目,可查看事件属性,并获取有关特定代码完整性事件的详细信息。
注意
有关代码完整性事件标识符的完整列表,请参阅了解应用程序控制事件。
以下是记录在代码完整性操作日志中的警告事件:
代码完整性无法验证文件<file name>的映像完整性,因为系统上找不到文件哈希。
代码完整性检测到未签名的驱动程序。
此事件与软件质量监视 (SQM) 相关。
以下是记录在代码完整性详细日志中的信息性事件:
代码完整性为目录<catalog name>中的文件<file name>找到了逐页映像哈希集。
代码完整性在映像嵌入证书中找到文件<file name>的逐页映像哈希集。
代码完整性找到目录<catalog name>中文件<file name>的文件哈希。
代码完整性在映像嵌入证书中找到文件<file name>的文件哈希。
代码完整性确定未签名的内核模块<file name>加载到了系统中。 请与发布者联系,查看内核模块的已签名版本是否可用。
代码完整性无法验证文件<file name>的映像完整性,因为系统上找不到逐页映像哈希集。
代码完整性无法验证文件<file name>的映像完整性,因为系统上找不到逐页映像哈希集。 由于附加了内核模式调试器,因此允许加载映像。
代码完整性无法验证文件<file name>的映像完整性,因为系统上找不到文件哈希。 由于附加了内核模式调试器,因此允许加载映像。
代码完整性无法加载<file name>目录。
代码完整性已成功加载<file name>目录。