首页
社区
课程
招聘
[讨论]过数字签名病毒原理~~
发表于: 2014-5-5 08:48 12310

[讨论]过数字签名病毒原理~~

2014-5-5 08:48
12310
是不是因为计算文件数字签名的时候,只提取了一部分数据来计算,所以才给病毒作者留下空隙

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (18)
雪    币: 7388
活跃值: (4096)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
现在伪造的签名过不了杀软了吧
2014-5-5 09:58
0
雪    币: 209
活跃值: (143)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
对文件签名实际上是对文件的哈希值做的签名,哈希值可以是SHA1,是对整个文件的哈希。然后将数字签名部分附加到文件末尾或者放到单独的文件中。对原有文件做哪怕一个字节的改动都会使签名失效。我认为不存在一个“不参与计算”的部分。
2014-5-5 10:26
0
雪    币: 209
活跃值: (143)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
病毒的签名可能是由于某合法厂商的数字签名私钥泄露或被破解,总之是病毒执照这得到了私有证书,就可以用这个厂商的证书来给自己的病毒签名了。
2014-5-5 10:27
0
雪    币: 2664
活跃值: (3401)
能力值: ( LV13,RANK:1760 )
在线值:
发帖
回帖
粉丝
5
加的是杠杠的真数字签名...
2014-5-5 10:29
0
雪    币: 209
活跃值: (143)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
还可能是完全随便伪造的签名,但是预先通过某种手段将证书链的根证书植入目标计算机,这样虽然是伪造的签名,但对于计算机来讲是完全可以信任的。
但这一点对于64位驱动程序是行不通的,因为根证书已经被限定为若干个已知证书,无法新加这种根证书。
2014-5-5 10:29
0
雪    币: 10
活跃值: (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
解释了这么多,谢谢了~
不过我觉得有时候计算文件数字签名会提取一部分,而不是全部,病毒作者正好可以利用这个空隙。
因为对于一些比较大的文件,如几百M以上,把所有二进制代码读出来计算MD5值会非常慢,为了效率,有时候会只提取文件的某些部分来计算。
2014-5-5 13:59
0
雪    币: 209
活跃值: (143)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
事实上,校验大文件的数字签名本就比校验小文件的数字签名要慢
2014-5-5 20:13
0
雪    币: 8835
活跃值: (2404)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
9
1.签名碰撞,高大上,高富帅,最先在flame中见到(其实MJ0011的HA1也可能是这个),后来出现各种微软PCA的签名碰撞...
2.证书私钥破解,依然高大上,高富帅,直接通过公钥分解弄出私钥,然后自己签名,见过2个样本。但是太高端了。
3.证书盗用,stuxnet等等常用手法,盗用其他公司的证书。
4.代签业务,中国特色的证书代签。
5.借证书用用,吊丝的作风,但是国内很多人就是这么干的,证书直接跟朋友借一下。
2014-5-5 20:40
0
雪    币: 30031
活跃值: (2472)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
10
XXXX
2014-5-6 12:33
0
雪    币: 30031
活跃值: (2472)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
11
上面第三点应该修改:添加根证书的时候是不用数字签名的,所以很多时候,流程是这样的:
1、安装程序的EXE(无数字签名),修改系统根证书数据库,整出一个根。
2、把自己拷贝到临时目录,用那个根证书颁发的证书对副本签名。
3、运行那个副本。副本因为有数字签名(特别是微软的),可以干太多猥琐的事情。

第一步添加根的时候,如果你不是直接操作数据库,而是调用API导入,一般系统会提示的。除非你是服务程序,如果是USER程序,也是有招猥琐的。不过最好还是直接虐数据库吧。安全高效简单。

都是玩烂了的东西,没有讨论的价值了。
2014-5-6 12:40
0
雪    币: 266
活跃值: (44)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
12
开阔视野~~~~~~~
2014-5-6 13:42
0
雪    币: 155
活跃值: (20)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
过数字签名的方法是有的,可以制造出签名完全合法的(不是碰撞/购买/盗用等等,正规厂商的正规签名)EXE

这个玩法在地下已经玩了快十年了,其实最近微软把怎么用的方法都公布了,仔细留意点就能找到。不过大家慢点玩,今年6月微软就把这个技术封掉了。
2014-5-6 15:23
0
雪    币: 2664
活跃值: (3401)
能力值: ( LV13,RANK:1760 )
在线值:
发帖
回帖
粉丝
14
MJ又出来爆料
2014-5-6 15:28
0
雪    币: 11
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
碰撞证书早是公开的秘密,关键是要有足够的运算资源。。。。比如有无数个客户端可以偷偷。。。。。
2014-5-6 15:45
0
雪    币: 1774
活跃值: (2202)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
Microsoft 宣布推出针对 Microsoft Windows 所有受支持版本的更新,更改了使用 Windows Authenticode 签名格式进行签名的二进制文件的签名验证方式。安全公告 MS13-098 中包含此更改,但要在 2014 年 6 月 10 日才会启用。一旦启用,新的 Windows Authenticode 签名验证默认行为将不再允许 WIN_CERTIFICATE 结构中的无关信息。注意,在 2014年 6 月 10 日之后,Windows 不再将不合规的二进制文件识别为已签名。
2014-5-6 15:56
0
雪    币: 11198
活跃值: (158)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17
涨见识。。
2014-5-6 16:43
0
雪    币: 1
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
18
太深奥了,不懂
2014-5-6 16:58
0
雪    币: 8835
活跃值: (2404)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
19
这个方法貌似不是所有的签名都有效果的~
2014-5-6 21:44
0
游客
登录 | 注册 方可回帖
返回
//