[讨论]过数字签名病毒原理~~-编程技术-看雪-安全社区|安全招聘|kanxue.com

[讨论]过数字签名病毒原理~~

发表于: 2014-5-5 08:48 12309

[讨论]过数字签名病毒原理~~

hdfyhtedju 活跃值

活跃值

2014-5-5 08:48

12309

是不是因为计算文件数字签名的时候，只提取了一部分数据来计算，所以才给病毒作者留下空隙

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

收藏・5

免费・0

支持

分享

最新回复 (18)
htpidk 雪币： 7388 活跃值： (4096) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 279 粉丝 1 关注私信	htpidk 2 楼现在伪造的签名过不了杀软了吧 2014-5-5 09:58 0
shilyx 雪币： 209 活跃值： (143) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 255 粉丝 2 关注私信	shilyx 3 楼对文件签名实际上是对文件的哈希值做的签名，哈希值可以是SHA1，是对整个文件的哈希。然后将数字签名部分附加到文件末尾或者放到单独的文件中。对原有文件做哪怕一个字节的改动都会使签名失效。我认为不存在一个“不参与计算”的部分。 2014-5-5 10:26 0
shilyx 雪币： 209 活跃值： (143) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 255 粉丝 2 关注私信	shilyx 4 楼病毒的签名可能是由于某合法厂商的数字签名私钥泄露或被破解，总之是病毒执照这得到了私有证书，就可以用这个厂商的证书来给自己的病毒签名了。 2014-5-5 10:27 0
安于此生雪币： 2664 活跃值： (3401) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 199 关注私信	安于此生 34 5 楼加的是杠杠的真数字签名... 2014-5-5 10:29 0
shilyx 雪币： 209 活跃值： (143) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 255 粉丝 2 关注私信	shilyx 6 楼还可能是完全随便伪造的签名，但是预先通过某种手段将证书链的根证书植入目标计算机，这样虽然是伪造的签名，但对于计算机来讲是完全可以信任的。但这一点对于64位驱动程序是行不通的，因为根证书已经被限定为若干个已知证书，无法新加这种根证书。 2014-5-5 10:29 0
hdfyhtedju 雪币： 10 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 35 粉丝 0 关注私信	hdfyhtedju 7 楼解释了这么多，谢谢了~ 不过我觉得有时候计算文件数字签名会提取一部分，而不是全部，病毒作者正好可以利用这个空隙。因为对于一些比较大的文件，如几百M以上，把所有二进制代码读出来计算MD5值会非常慢，为了效率，有时候会只提取文件的某些部分来计算。 2014-5-5 13:59 0
shilyx 雪币： 209 活跃值： (143) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 255 粉丝 2 关注私信	shilyx 8 楼事实上，校验大文件的数字签名本就比校验小文件的数字签名要慢 2014-5-5 20:13 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 9 楼 1.签名碰撞，高大上，高富帅，最先在flame中见到（其实MJ0011的HA1也可能是这个），后来出现各种微软PCA的签名碰撞... 2.证书私钥破解，依然高大上，高富帅，直接通过公钥分解弄出私钥，然后自己签名，见过2个样本。但是太高端了。 3.证书盗用，stuxnet等等常用手法，盗用其他公司的证书。 4.代签业务，中国特色的证书代签。 5.借证书用用，吊丝的作风，但是国内很多人就是这么干的，证书直接跟朋友借一下。 2014-5-5 20:40 0
bestbird 雪币： 30031 活跃值： (2472) 能力值： ( LV3，RANK：20 ) 在线值：发帖 10 回帖 266 粉丝 22 关注私信	bestbird 10 楼 XXXX 2014-5-6 12:33 0
bestbird 雪币： 30031 活跃值： (2472) 能力值： ( LV3，RANK：20 ) 在线值：发帖 10 回帖 266 粉丝 22 关注私信	bestbird 11 楼上面第三点应该修改：添加根证书的时候是不用数字签名的，所以很多时候，流程是这样的： 1、安装程序的EXE（无数字签名），修改系统根证书数据库，整出一个根。 2、把自己拷贝到临时目录，用那个根证书颁发的证书对副本签名。 3、运行那个副本。副本因为有数字签名（特别是微软的），可以干太多猥琐的事情。第一步添加根的时候，如果你不是直接操作数据库，而是调用API导入，一般系统会提示的。除非你是服务程序，如果是USER程序，也是有招猥琐的。不过最好还是直接虐数据库吧。安全高效简单。都是玩烂了的东西，没有讨论的价值了。 2014-5-6 12:40 0
byebing 雪币： 266 活跃值： (44) 能力值： ( LV3，RANK：20 ) 在线值：发帖 11 回帖 170 粉丝 0 关注私信	byebing 12 楼开阔视野~~~~~~~ 2014-5-6 13:42 0
kman 雪币： 155 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 338 粉丝 2 关注私信	kman 13 楼过数字签名的方法是有的，可以制造出签名完全合法的（不是碰撞/购买/盗用等等，正规厂商的正规签名）EXE 这个玩法在地下已经玩了快十年了，其实最近微软把怎么用的方法都公布了，仔细留意点就能找到。不过大家慢点玩，今年6月微软就把这个技术封掉了。 2014-5-6 15:23 0
安于此生雪币： 2664 活跃值： (3401) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 199 关注私信	安于此生 34 14 楼 MJ又出来爆料 2014-5-6 15:28 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 15 楼碰撞证书早是公开的秘密，关键是要有足够的运算资源。。。。比如有无数个客户端可以偷偷。。。。。 2014-5-6 15:45 0
远洋方舟雪币： 1774 活跃值： (2202) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 25 粉丝 0 关注私信	远洋方舟 16 楼 Microsoft 宣布推出针对 Microsoft Windows 所有受支持版本的更新，更改了使用 Windows Authenticode 签名格式进行签名的二进制文件的签名验证方式。安全公告 MS13-098 中包含此更改，但要在 2014 年 6 月 10 日才会启用。一旦启用，新的 Windows Authenticode 签名验证默认行为将不再允许 WIN_CERTIFICATE 结构中的无关信息。注意，在 2014年 6 月 10 日之后，Windows 不再将不合规的二进制文件识别为已签名。 2014-5-6 15:56 0
guobing 雪币： 11198 活跃值： (158) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 402 粉丝 0 关注私信	guobing 17 楼涨见识。。 2014-5-6 16:43 0
心若止水雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	心若止水 18 楼太深奥了，不懂 2014-5-6 16:58 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 19 楼这个方法貌似不是所有的签名都有效果的~ 2014-5-6 21:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

返回

hdfyhtedju

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

//