能力值:
( LV2,RANK:10 )
|
-
-
2 楼
现在伪造的签名过不了杀软了吧
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
对文件签名实际上是对文件的哈希值做的签名,哈希值可以是SHA1,是对整个文件的哈希。然后将数字签名部分附加到文件末尾或者放到单独的文件中。对原有文件做哪怕一个字节的改动都会使签名失效。我认为不存在一个“不参与计算”的部分。
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
病毒的签名可能是由于某合法厂商的数字签名私钥泄露或被破解,总之是病毒执照这得到了私有证书,就可以用这个厂商的证书来给自己的病毒签名了。
|
能力值:
( LV13,RANK:1760 )
|
-
-
5 楼
加的是杠杠的真数字签名...
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
还可能是完全随便伪造的签名,但是预先通过某种手段将证书链的根证书植入目标计算机,这样虽然是伪造的签名,但对于计算机来讲是完全可以信任的。
但这一点对于64位驱动程序是行不通的,因为根证书已经被限定为若干个已知证书,无法新加这种根证书。
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
解释了这么多,谢谢了~
不过我觉得有时候计算文件数字签名会提取一部分,而不是全部,病毒作者正好可以利用这个空隙。
因为对于一些比较大的文件,如几百M以上,把所有二进制代码读出来计算MD5值会非常慢,为了效率,有时候会只提取文件的某些部分来计算。
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
事实上,校验大文件的数字签名本就比校验小文件的数字签名要慢
|
能力值:
( LV12,RANK:760 )
|
-
-
9 楼
1.签名碰撞,高大上,高富帅,最先在flame中见到(其实MJ0011的HA1也可能是这个),后来出现各种微软PCA的签名碰撞...
2.证书私钥破解,依然高大上,高富帅,直接通过公钥分解弄出私钥,然后自己签名,见过2个样本。但是太高端了。
3.证书盗用,stuxnet等等常用手法,盗用其他公司的证书。
4.代签业务,中国特色的证书代签。
5.借证书用用,吊丝的作风,但是国内很多人就是这么干的,证书直接跟朋友借一下。
|
能力值:
( LV3,RANK:20 )
|
-
-
10 楼
XXXX
|
能力值:
( LV3,RANK:20 )
|
-
-
11 楼
上面第三点应该修改:添加根证书的时候是不用数字签名的,所以很多时候,流程是这样的:
1、安装程序的EXE(无数字签名),修改系统根证书数据库,整出一个根。
2、把自己拷贝到临时目录,用那个根证书颁发的证书对副本签名。
3、运行那个副本。副本因为有数字签名(特别是微软的),可以干太多猥琐的事情。
第一步添加根的时候,如果你不是直接操作数据库,而是调用API导入,一般系统会提示的。除非你是服务程序,如果是USER程序,也是有招猥琐的。不过最好还是直接虐数据库吧。安全高效简单。
都是玩烂了的东西,没有讨论的价值了。
|
能力值:
( LV3,RANK:20 )
|
-
-
12 楼
开阔视野~~~~~~~
|
能力值:
( LV2,RANK:10 )
|
-
-
13 楼
过数字签名的方法是有的,可以制造出签名完全合法的(不是碰撞/购买/盗用等等,正规厂商的正规签名)EXE
这个玩法在地下已经玩了快十年了,其实最近微软把怎么用的方法都公布了,仔细留意点就能找到。不过大家慢点玩,今年6月微软就把这个技术封掉了。
|
能力值:
( LV13,RANK:1760 )
|
-
-
14 楼
MJ又出来爆料
|
能力值:
( LV2,RANK:10 )
|
-
-
15 楼
碰撞证书早是公开的秘密,关键是要有足够的运算资源。。。。比如有无数个客户端可以偷偷。。。。。
|
能力值:
( LV2,RANK:10 )
|
-
-
16 楼
Microsoft 宣布推出针对 Microsoft Windows 所有受支持版本的更新,更改了使用 Windows Authenticode 签名格式进行签名的二进制文件的签名验证方式。安全公告 MS13-098 中包含此更改,但要在 2014 年 6 月 10 日才会启用。一旦启用,新的 Windows Authenticode 签名验证默认行为将不再允许 WIN_CERTIFICATE 结构中的无关信息。注意,在 2014年 6 月 10 日之后,Windows 不再将不合规的二进制文件识别为已签名。
|
能力值:
( LV2,RANK:10 )
|
-
-
17 楼
涨见识。。
|
能力值:
( LV2,RANK:10 )
|
-
-
18 楼
太深奥了,不懂
|
能力值:
( LV12,RANK:760 )
|
-
-
19 楼
这个方法貌似不是所有的签名都有效果的~
|
|
|