[求助]关于PE文件的数字签名-编程技术-看雪-安全社区|安全招聘|kanxue.com

[求助]关于PE文件的数字签名

发表于: 2014-4-7 11:58 20531

[求助]关于PE文件的数字签名

zhangyiqun 活跃值

2014-4-7 11:58

20531

我想验证一个PE文件的数字签名是否可靠，能有什么实现的方法，而不使用WindowsAPI- WinVerifyTrust，CryptQueryObject，，因为考虑到Hook WinVerifyTrust/CryptQueryObject，能自己解析吗？如果自己解析的话，是不是得熟悉一下PKCS#7的格式，哪位大神能给我一些提示，不胜感激，语言不限，C#，C，Python都可以

[课程]Android-CTF解题方法汇总！

收藏・4

免费・0

支持

最新回复 (20)
zhangyiqun 雪币： 35 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 35 粉丝 0 关注私信	zhangyiqun 2 楼算了，暂时找不到解决办法，考虑的项目的进度，目前采用WinVerifyTrust。同时对WinVerifyTrust这个函数的完整性进行检测，检测是否被Hook 2014-4-12 22:58 0
OXFFFFFFFE 雪币： 18 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 57 粉丝 0 关注私信	OXFFFFFFFE 3 楼第三方签名，和微软的签名，这个api是不是都可以检测到？ 2014-4-12 23:45 0
shilyx 雪币： 209 活跃值： (138) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 255 粉丝 2 关注私信	shilyx 4 楼这个函数只能监测带有数字签名区的文件的签名，而实际上系统的dll很多都没有签名区，但也是在外部签名了的 2014-4-13 09:17 0
zhangyiqun 雪币： 35 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 35 粉丝 0 关注私信	zhangyiqun 5 楼是的，我手动更改了某公司的一个文件， WinVerifyTrust就验证数字签名被破坏了。 2014-4-15 21:11 0
zhangyiqun 雪币： 35 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 35 粉丝 0 关注私信	zhangyiqun 6 楼对啊，系统文件没有数字签名区，但是确实有签名的内容，用WinVerifyTrust可以验证，但是CryptQueryObject无法获取到证书的内容，不知道前辈是否有什么方法，可以获取到签名的内容（我要把他显示出来在界面上），比如发布人，时间戳等，我能读取到PE文件中签名的块，但是不知道里面具体结构怎么解析，PKCS#7的资料太少，看的不是很懂 2014-4-18 11:53 0
zhangyiqun 雪币： 35 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 35 粉丝 0 关注私信	zhangyiqun 7 楼对啊，系统文件没有数字签名区，但是确实有签名的内容，用WinVerifyTrust可以验证，但是CryptQueryObject无法获取到证书的内容，不知道前辈是否有什么方法，可以获取到签名的内容（我要把他显示出来在界面上），比如发布人，时间戳等，我能读取到PE文件中签名的块，但是不知道里面具体结构怎么解析，对应的数据结构是什么，PKCS#7的资料太少，看的不是很懂 2014-4-18 11:54 0
bestbird 雪币： 30050 活跃值： (2377) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 262 粉丝 20 关注私信	bestbird 8 楼 PE结构有个参数表示参数表示了该PE的签名在PE的偏移和签名的大小，如果为0说明不存在签名。签名的流程其实很简单，其实就是计算HASH（有MD5和SHA1等算法），对于驱动还必须计算校验和。如果PE的体积不为16整除，后面还需要加0填充。 InitializeChecksum(FChecksum); InitializeMD5(MD5); InitializeSHA1(SHA1); ...... if (wMagic = $020B) then //这个是PE64文件，结构不一样 begin //PE32+ . Optional Variable 16 //, SizeOfStackReserve, SizeOfStackCommit, //SizeOfHeapReserve SizeOfHeapCommit DWORD, //64 . FDelta64bit := $10; end; FStream.Seek(StreamPos, soFromBeginning); 。。。。。。。。。计算完毕后，用PKCS7格式封装，然后一般是放在PE尾部。最后修改PE结构，指明该签名的文件偏移和大小。校验也是一样的。而对于交叉签名（也就是WIN64的驱动必须），实际上也是一样的，只不过是一个PE存在多个证书而已。时间戳其实也是一样，就是一个证书。递交HASH后，返回的其实就是PKCS格式的了。大概应该如此，很多年前玩过一次，不大记得了。可惜代码是DELPHI的，对你没有用处。 2014-4-23 23:10 0
bestbird 雪币： 30050 活跃值： (2377) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 262 粉丝 20 关注私信	bestbird 9 楼以前最喜欢玩这个，直接文件操作证书：上传的附件： 1.PNG （30.18kb，92次下载） 2.PNG （9.09kb，15次下载） 3.PNG （14.15kb，13次下载） 4.PNG （14.26kb，19次下载） 5.PNG （12.29kb，33次下载） 2014-4-23 23:20 0
cnxxm 雪币： 478 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 53 回帖 473 粉丝 1 关注私信	cnxxm 10 楼 [QUOTE=bestbird;1277413]以前最喜欢玩这个，直接文件操作证书： [/QUOTE] 求分享啊 2014-4-24 12:53 0
bestbird 雪币： 30050 活跃值： (2377) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 262 粉丝 20 关注私信	bestbird 11 楼玩具而已。。。很久以前学习证书时搞来玩的，就不献丑了。 2014-4-25 13:07 0
quarkkx 雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 19 粉丝 0 关注私信	quarkkx 12 楼鸟神，分享一下嘛 2014-4-25 13:23 0
雪yaojun 雪币： 120 活跃值： (160) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 593 粉丝 0 关注私信	雪yaojun 13 楼 [QUOTE=bestbird;1277413]以前最喜欢玩这个，直接文件操作证书： [/QUOTE] 神器。求分享。 2014-4-25 13:31 0
aosemp 雪币： 242 活跃值： (16) 能力值： ( LV3，RANK：30 ) 在线值：发帖 2 回帖 24 粉丝 0 关注私信	aosemp 14 楼 verisign class 6这个根证书表示没见过，自己加的吧 ~ 2014-4-25 16:11 0
tomtory 雪币： 10867 活跃值： (2843) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 144 粉丝 1 关注私信	tomtory 15 楼 [QUOTE=bestbird;1277413]以前最喜欢玩这个，直接文件操作证书： [/QUOTE] 神器呀，求分享！！ 2014-4-30 13:33 0
xtptvvvv 雪币： 1 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 51 粉丝 0 关注私信	xtptvvvv 16 楼我一开始也被那帖唬住了。仔细看才发现原来根证书是自己添加的。 2014-5-1 10:41 0
bestbird 雪币： 30050 活跃值： (2377) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 262 粉丝 20 关注私信	bestbird 17 楼其实就是自定义签名了。根证书其实也就存储在操作系统，直接修改那数据库就好了。当然，系统是允许两个根证书的名称是一样的，但是指纹必须不一样，否则新的会覆盖旧的。所以verisign class 6，1，2，3，其实没有区别的。看你想弄个什么名称而已。只不过是，这些完全不依赖系统的什么PKI函数或OPENSSL，而是直接writefile,readfile而已。 2014-5-1 13:01 0
xtptvvvv 雪币： 1 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 51 粉丝 0 关注私信	xtptvvvv 18 楼能过64位系统的签名验证吗？ 2014-5-1 23:05 0
nzdtxhh 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	nzdtxhh 19 楼 [QUOTE=bestbird;1277413]以前最喜欢玩这个，直接文件操作证书： [/QUOTE] 大神，求分享啊，这么厉害的神器~~~！ 2014-5-3 18:26 0
asaqlp 雪币： 2 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	asaqlp 20 楼鸟神大佬把工具代码发出来啊，别自己用啊 2021-7-2 05:19 0
asaqlp 雪币： 2 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	asaqlp 21 楼 bestbird 玩具而已。。。很久以前学习证书时搞来玩的，就不献丑了。鸟神大佬把工具代码发出来啊，别自己用啊 2021-7-2 05:20 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

zhangyiqun

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (20)
zhangyiqun 雪币： 35 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 35 粉丝 0 关注私信	zhangyiqun 2 楼算了，暂时找不到解决办法，考虑的项目的进度，目前采用WinVerifyTrust。同时对WinVerifyTrust这个函数的完整性进行检测，检测是否被Hook 2014-4-12 22:58 0
OXFFFFFFFE 雪币： 18 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 57 粉丝 0 关注私信	OXFFFFFFFE 3 楼第三方签名，和微软的签名，这个api是不是都可以检测到？ 2014-4-12 23:45 0
shilyx 雪币： 209 活跃值： (138) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 255 粉丝 2 关注私信	shilyx 4 楼这个函数只能监测带有数字签名区的文件的签名，而实际上系统的dll很多都没有签名区，但也是在外部签名了的 2014-4-13 09:17 0
zhangyiqun 雪币： 35 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 35 粉丝 0 关注私信	zhangyiqun 5 楼是的，我手动更改了某公司的一个文件， WinVerifyTrust就验证数字签名被破坏了。 2014-4-15 21:11 0
zhangyiqun 雪币： 35 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 35 粉丝 0 关注私信	zhangyiqun 6 楼对啊，系统文件没有数字签名区，但是确实有签名的内容，用WinVerifyTrust可以验证，但是CryptQueryObject无法获取到证书的内容，不知道前辈是否有什么方法，可以获取到签名的内容（我要把他显示出来在界面上），比如发布人，时间戳等，我能读取到PE文件中签名的块，但是不知道里面具体结构怎么解析，PKCS#7的资料太少，看的不是很懂 2014-4-18 11:53 0
zhangyiqun 雪币： 35 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 35 粉丝 0 关注私信	zhangyiqun 7 楼对啊，系统文件没有数字签名区，但是确实有签名的内容，用WinVerifyTrust可以验证，但是CryptQueryObject无法获取到证书的内容，不知道前辈是否有什么方法，可以获取到签名的内容（我要把他显示出来在界面上），比如发布人，时间戳等，我能读取到PE文件中签名的块，但是不知道里面具体结构怎么解析，对应的数据结构是什么，PKCS#7的资料太少，看的不是很懂 2014-4-18 11:54 0
bestbird 雪币： 30050 活跃值： (2377) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 262 粉丝 20 关注私信	bestbird 8 楼 PE结构有个参数表示参数表示了该PE的签名在PE的偏移和签名的大小，如果为0说明不存在签名。签名的流程其实很简单，其实就是计算HASH（有MD5和SHA1等算法），对于驱动还必须计算校验和。如果PE的体积不为16整除，后面还需要加0填充。 InitializeChecksum(FChecksum); InitializeMD5(MD5); InitializeSHA1(SHA1); ...... if (wMagic = $020B) then //这个是PE64文件，结构不一样 begin //PE32+ . Optional Variable 16 //, SizeOfStackReserve, SizeOfStackCommit, //SizeOfHeapReserve SizeOfHeapCommit DWORD, //64 . FDelta64bit := $10; end; FStream.Seek(StreamPos, soFromBeginning); 。。。。。。。。。计算完毕后，用PKCS7格式封装，然后一般是放在PE尾部。最后修改PE结构，指明该签名的文件偏移和大小。校验也是一样的。而对于交叉签名（也就是WIN64的驱动必须），实际上也是一样的，只不过是一个PE存在多个证书而已。时间戳其实也是一样，就是一个证书。递交HASH后，返回的其实就是PKCS格式的了。大概应该如此，很多年前玩过一次，不大记得了。可惜代码是DELPHI的，对你没有用处。 2014-4-23 23:10 0
bestbird 雪币： 30050 活跃值： (2377) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 262 粉丝 20 关注私信	bestbird 9 楼以前最喜欢玩这个，直接文件操作证书：上传的附件： 1.PNG （30.18kb，92次下载） 2.PNG （9.09kb，15次下载） 3.PNG （14.15kb，13次下载） 4.PNG （14.26kb，19次下载） 5.PNG （12.29kb，33次下载） 2014-4-23 23:20 0
cnxxm 雪币： 478 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 53 回帖 473 粉丝 1 关注私信	cnxxm 10 楼 [QUOTE=bestbird;1277413]以前最喜欢玩这个，直接文件操作证书： [/QUOTE] 求分享啊 2014-4-24 12:53 0
bestbird 雪币： 30050 活跃值： (2377) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 262 粉丝 20 关注私信	bestbird 11 楼玩具而已。。。很久以前学习证书时搞来玩的，就不献丑了。 2014-4-25 13:07 0
quarkkx 雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 19 粉丝 0 关注私信	quarkkx 12 楼鸟神，分享一下嘛 2014-4-25 13:23 0
雪yaojun 雪币： 120 活跃值： (160) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 593 粉丝 0 关注私信	雪yaojun 13 楼 [QUOTE=bestbird;1277413]以前最喜欢玩这个，直接文件操作证书： [/QUOTE] 神器。求分享。 2014-4-25 13:31 0
aosemp 雪币： 242 活跃值： (16) 能力值： ( LV3，RANK：30 ) 在线值：发帖 2 回帖 24 粉丝 0 关注私信	aosemp 14 楼 verisign class 6这个根证书表示没见过，自己加的吧 ~ 2014-4-25 16:11 0
tomtory 雪币： 10867 活跃值： (2843) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 144 粉丝 1 关注私信	tomtory 15 楼 [QUOTE=bestbird;1277413]以前最喜欢玩这个，直接文件操作证书： [/QUOTE] 神器呀，求分享！！ 2014-4-30 13:33 0
xtptvvvv 雪币： 1 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 51 粉丝 0 关注私信	xtptvvvv 16 楼我一开始也被那帖唬住了。仔细看才发现原来根证书是自己添加的。 2014-5-1 10:41 0
bestbird 雪币： 30050 活跃值： (2377) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 262 粉丝 20 关注私信	bestbird 17 楼其实就是自定义签名了。根证书其实也就存储在操作系统，直接修改那数据库就好了。当然，系统是允许两个根证书的名称是一样的，但是指纹必须不一样，否则新的会覆盖旧的。所以verisign class 6，1，2，3，其实没有区别的。看你想弄个什么名称而已。只不过是，这些完全不依赖系统的什么PKI函数或OPENSSL，而是直接writefile,readfile而已。 2014-5-1 13:01 0
xtptvvvv 雪币： 1 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 51 粉丝 0 关注私信	xtptvvvv 18 楼能过64位系统的签名验证吗？ 2014-5-1 23:05 0
nzdtxhh 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	nzdtxhh 19 楼 [QUOTE=bestbird;1277413]以前最喜欢玩这个，直接文件操作证书： [/QUOTE] 大神，求分享啊，这么厉害的神器~~~！ 2014-5-3 18:26 0
asaqlp 雪币： 2 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	asaqlp 20 楼鸟神大佬把工具代码发出来啊，别自己用啊 2021-7-2 05:19 0
asaqlp 雪币： 2 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	asaqlp 21 楼 bestbird 玩具而已。。。很久以前学习证书时搞来玩的，就不献丑了。鸟神大佬把工具代码发出来啊，别自己用啊 2021-7-2 05:20 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复