[翻译]Windows PE文件中的数字签名格式-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[翻译]Windows PE文件中的数字签名格式

发表于: 2016-6-1 15:33 24397

[翻译]Windows PE文件中的数字签名格式

银雁冰

2016-6-1 15:33

24397

这几天把微软关于PE文件数字签名格式的官方文档翻译了一下，发看雪共享一下吧。附件一是源文档，附件二是中文版翻译，附件三是一个可以用来练手以搞清原理的github上的Python开源代码。

本人水平有限，翻译不足之处请见谅。祝小伙伴们儿童节快乐

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

上传的附件：

Authenticode_PE.doc （262.50kb，528次下载）
Windows PE文件中的验证码签名格式.pdf （666.06kb，1082次下载）
lilinzhe-verify-sigs.zip （101.35kb，568次下载）

收藏・83

免费・5

支持

最新回复 (25) 1 2 ▶
ID蝴蝶雪币： 438 活跃值： (228) 能力值： ( LV5，RANK：70 ) 在线值：发帖 11 回帖 279 粉丝 0 关注私信	ID蝴蝶 1 2 楼感谢楼主分享哦。 2016-6-1 20:18 0
HuyeXJH 雪币： 84 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 57 粉丝 0 关注私信	HuyeXJH 3 楼感谢楼主分享哦。 2016-6-1 21:44 0
neineit 雪币： 397 活跃值： (387) 能力值： ( LV9，RANK：410 ) 在线值：发帖 19 回帖 224 粉丝 2 关注私信	neineit 10 4 楼顶， 6.1 快乐，lz这算是给大家发礼物吧：） 2016-6-1 22:04 0
银雁冰雪币： 9662 活跃值： (4588) 能力值： ( LV15，RANK：800 ) 在线值：发帖 32 回帖 94 粉丝 151 关注私信	银雁冰 16 5 楼论坛里关于数字签名的讨论比较少，微软的文章挺不错的，所以翻译出来分享一下~ 2016-6-1 22:33 0
lukarl 雪币： 24 活跃值： (1353) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 160 粉丝 16 关注私信	lukarl 6 楼这个东西挺有用，感谢楼主 2016-6-2 13:50 0
RingMENG 雪币： 27 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 37 粉丝 0 关注私信	RingMENG 7 楼感谢楼主分 2016-6-2 21:00 0
koflfy 雪币： 102 活跃值： (2060) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 398 粉丝 4 关注私信	koflfy 1 8 楼 mark 2016-6-3 09:59 0
OnlyForU 雪币： 346 活跃值： (25) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 184 粉丝 0 关注私信	OnlyForU 9 楼感谢楼主分享，恰好也在找这方面的资料。 2016-6-4 12:52 0
iceway 雪币： 19 活跃值： (1086) 能力值： ( LV2，RANK：10 ) 在线值：发帖 88 回帖 813 粉丝 5 关注私信	iceway 10 楼很好的东西，多谢了 2016-6-4 20:14 0
Howsk 雪币： 207 活跃值： (58) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 41 粉丝 1 关注私信	Howsk 11 楼哈哈，非常佩服楼主，居然翻译了这么多，深受熏陶。 2016-6-7 08:40 0
csdym 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	csdym 12 楼翻译的不错，辛苦了微软太多保密的东西了，没办法谁让全世界都用呢 2016-6-10 10:27 0
chianduxl 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	chianduxl 13 楼非常佩服楼主，居然翻译了这么多，下载学习了 2016-6-13 23:35 0
bpboy 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 14 粉丝 0 关注私信	bpboy 14 楼感谢楼主 2016-6-14 20:53 0
wodexinren 雪币： 74 活跃值： (748) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 223 粉丝 0 关注私信	wodexinren 15 楼非常不错，感谢分享 2016-6-16 13:07 0
binsys 雪币： 158 活跃值： (384) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 63 粉丝 0 关注私信	binsys 16 楼最近发现一个比较有趣的事情，不知道是不是很常见，在windows NT6.X里面，对bootmgr.exe的签名，其签名数据直接附加在PE文件末尾，其偏移地址和大小由 optional header -> data directories -> SecurityDirectoryRVA SecurityDirectorySize 指定，而SecurityDirectoryRVA 的值直接为PE文件的实际长度。这导致像 CFF Explorer VII这样的工具打开bootmgr.exe时认为SecurityDirectoryRVA 这个字段值无效，被标记为红色，貌似是他去sections里面找地址发现没有匹配的。通过一个叫 wimboot 的开源项目，在他的peloader.c里发现了一段注释： /* Load copy of raw image into memory immediately after loaded * sections. This seems to be used for verification of X.509 * signatures. */ raw_base = ( pe->base + pe->len ); memcpy ( raw_base, data, len ); pe->len += len; DBG2 ( "...raw copy to %p+%#zx\n", raw_base, len ); 2016-6-19 11:38 0
huangqiang 雪币： 454 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 103 粉丝 1 关注私信	huangqiang 17 楼不错的学文哦，下载学习 2016-7-1 09:01 0
杀马特贵族雪币： 4 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	杀马特贵族 18 楼感谢楼主~ 2016-9-27 20:40 0
yangya 雪币： 58 活跃值： (1135) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 318 粉丝 1 关注私信	yangya 19 楼这个开源项目在哪？ 2016-9-27 21:31 0
狂奔的鸡骨架雪币： 13 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 43 粉丝 0 关注私信	狂奔的鸡骨架 20 楼 mark 2016-10-9 19:11 0
binsys 雪币： 158 活跃值： (384) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 63 粉丝 0 关注私信	binsys 21 楼 http://ipxe.org/wimboot 2016-10-29 11:00 0
不尽湘江雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 23 粉丝 0 关注私信	不尽湘江 22 楼感谢楼主提供资料，一直想研究PE签名的文件格式 2016-11-27 22:14 0
qux 雪币： 13082 活跃值： (5738) 能力值： ( LV5，RANK：77 ) 在线值：发帖 33 回帖 127 粉丝 20 关注私信	qux 23 楼开源项目的地址: https://github.com/slayercat/lilinzhe-verify-sigs 原始的版本在这里: https://github.com/anthrotype/verify-sigs 有人重写了一下: https://github.com/ralphje/signify 2020-3-5 12:22 0
银雁冰雪币： 9662 活跃值： (4588) 能力值： ( LV15，RANK：800 ) 在线值：发帖 32 回帖 94 粉丝 151 关注私信	银雁冰 16 24 楼最近在网上看到这方面的另一个项目和介绍，希望可以帮到有需要的人： https://blog.trailofbits.com/2020/05/27/verifying-windows-binaries-without-windows/ https://github.com/trailofbits/uthenticode 2020-5-28 09:42 0
家乡的小白杨雪币： 200 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	家乡的小白杨 25 楼小白感谢楼主！ 2020-12-9 14:16 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

银雁冰

发帖

回帖

800

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (25) 1 2 ▶
ID蝴蝶雪币： 438 活跃值： (228) 能力值： ( LV5，RANK：70 ) 在线值：发帖 11 回帖 279 粉丝 0 关注私信	ID蝴蝶 1 2 楼感谢楼主分享哦。 2016-6-1 20:18 0
HuyeXJH 雪币： 84 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 57 粉丝 0 关注私信	HuyeXJH 3 楼感谢楼主分享哦。 2016-6-1 21:44 0
neineit 雪币： 397 活跃值： (387) 能力值： ( LV9，RANK：410 ) 在线值：发帖 19 回帖 224 粉丝 2 关注私信	neineit 10 4 楼顶， 6.1 快乐，lz这算是给大家发礼物吧：） 2016-6-1 22:04 0
银雁冰雪币： 9662 活跃值： (4588) 能力值： ( LV15，RANK：800 ) 在线值：发帖 32 回帖 94 粉丝 151 关注私信	银雁冰 16 5 楼论坛里关于数字签名的讨论比较少，微软的文章挺不错的，所以翻译出来分享一下~ 2016-6-1 22:33 0
lukarl 雪币： 24 活跃值： (1353) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 160 粉丝 16 关注私信	lukarl 6 楼这个东西挺有用，感谢楼主 2016-6-2 13:50 0
RingMENG 雪币： 27 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 37 粉丝 0 关注私信	RingMENG 7 楼感谢楼主分 2016-6-2 21:00 0
koflfy 雪币： 102 活跃值： (2060) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 398 粉丝 4 关注私信	koflfy 1 8 楼 mark 2016-6-3 09:59 0
OnlyForU 雪币： 346 活跃值： (25) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 184 粉丝 0 关注私信	OnlyForU 9 楼感谢楼主分享，恰好也在找这方面的资料。 2016-6-4 12:52 0
iceway 雪币： 19 活跃值： (1086) 能力值： ( LV2，RANK：10 ) 在线值：发帖 88 回帖 813 粉丝 5 关注私信	iceway 10 楼很好的东西，多谢了 2016-6-4 20:14 0
Howsk 雪币： 207 活跃值： (58) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 41 粉丝 1 关注私信	Howsk 11 楼哈哈，非常佩服楼主，居然翻译了这么多，深受熏陶。 2016-6-7 08:40 0
csdym 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	csdym 12 楼翻译的不错，辛苦了微软太多保密的东西了，没办法谁让全世界都用呢 2016-6-10 10:27 0
chianduxl 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	chianduxl 13 楼非常佩服楼主，居然翻译了这么多，下载学习了 2016-6-13 23:35 0
bpboy 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 14 粉丝 0 关注私信	bpboy 14 楼感谢楼主 2016-6-14 20:53 0
wodexinren 雪币： 74 活跃值： (748) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 223 粉丝 0 关注私信	wodexinren 15 楼非常不错，感谢分享 2016-6-16 13:07 0
binsys 雪币： 158 活跃值： (384) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 63 粉丝 0 关注私信	binsys 16 楼最近发现一个比较有趣的事情，不知道是不是很常见，在windows NT6.X里面，对bootmgr.exe的签名，其签名数据直接附加在PE文件末尾，其偏移地址和大小由 optional header -> data directories -> SecurityDirectoryRVA SecurityDirectorySize 指定，而SecurityDirectoryRVA 的值直接为PE文件的实际长度。这导致像 CFF Explorer VII这样的工具打开bootmgr.exe时认为SecurityDirectoryRVA 这个字段值无效，被标记为红色，貌似是他去sections里面找地址发现没有匹配的。通过一个叫 wimboot 的开源项目，在他的peloader.c里发现了一段注释： /* Load copy of raw image into memory immediately after loaded * sections. This seems to be used for verification of X.509 * signatures. */ raw_base = ( pe->base + pe->len ); memcpy ( raw_base, data, len ); pe->len += len; DBG2 ( "...raw copy to %p+%#zx\n", raw_base, len ); 2016-6-19 11:38 0
huangqiang 雪币： 454 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 103 粉丝 1 关注私信	huangqiang 17 楼不错的学文哦，下载学习 2016-7-1 09:01 0
杀马特贵族雪币： 4 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	杀马特贵族 18 楼感谢楼主~ 2016-9-27 20:40 0
yangya 雪币： 58 活跃值： (1135) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 318 粉丝 1 关注私信	yangya 19 楼这个开源项目在哪？ 2016-9-27 21:31 0
狂奔的鸡骨架雪币： 13 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 43 粉丝 0 关注私信	狂奔的鸡骨架 20 楼 mark 2016-10-9 19:11 0
binsys 雪币： 158 活跃值： (384) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 63 粉丝 0 关注私信	binsys 21 楼 http://ipxe.org/wimboot 2016-10-29 11:00 0
不尽湘江雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 23 粉丝 0 关注私信	不尽湘江 22 楼感谢楼主提供资料，一直想研究PE签名的文件格式 2016-11-27 22:14 0
qux 雪币： 13082 活跃值： (5738) 能力值： ( LV5，RANK：77 ) 在线值：发帖 33 回帖 127 粉丝 20 关注私信	qux 23 楼开源项目的地址: https://github.com/slayercat/lilinzhe-verify-sigs 原始的版本在这里: https://github.com/anthrotype/verify-sigs 有人重写了一下: https://github.com/ralphje/signify 2020-3-5 12:22 0
银雁冰雪币： 9662 活跃值： (4588) 能力值： ( LV15，RANK：800 ) 在线值：发帖 32 回帖 94 粉丝 151 关注私信	银雁冰 16 24 楼最近在网上看到这方面的另一个项目和介绍，希望可以帮到有需要的人： https://blog.trailofbits.com/2020/05/27/verifying-windows-binaries-without-windows/ https://github.com/trailofbits/uthenticode 2020-5-28 09:42 0
家乡的小白杨雪币： 200 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	家乡的小白杨 25 楼小白感谢楼主！ 2020-12-9 14:16 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复