pe文件签名信息检测技术

于 2022-09-01 10:39:24 发布
阅读量350 收藏
点赞数
文章标签: 大数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/ViVicky_/article/details/126638483
版权
本文介绍了如何从PE文件中提取签名信息,包括签名者、时间戳、摘要算法等,并展示了Python代码示例来解析签名数据,用于辅助安全评估。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

【摘要】 签名信息中包含有很多有用的信息,可以辅助对二进制软件进行安全检测。读者可以从本博客中了解到pe文件中签名信息是如何组织的,如何用python代码从pe文件中获取内嵌的签名信息等知识。

**什么是pe文件的签名信息:**\
以windows系统中NDIS.sys驱动程序为例,在该文件的右键属性窗口中,若包含数字签名属性页,则表示该pe文件内嵌有签名信息,如下图所示:\
![image.png](https://p3-juejin.byteimg.com/tos-cn-i-k3u1fbpfcp/ed2e3f7a0f784dc4b8dd929ec39087e7~tplv-k3u1fbpfcp-zoom-1.image)

当双击签名列表时,可以查看数字签名信息详情,如下图所示:\
![image.png](https://p3-juejin.byteimg.com/tos-cn-i-k3u1fbpfcp/1606f0898c474b25a130d716b7d2080c~tplv-k3u1fbpfcp-zoom-1.image)

在详情中包含了**签名者信息**以及**签名时间戳**等重要的信息,同时查看高级属性页时,可以看到更加丰富的签名信息,如下图所示:\
![image.png](https://p3-juejin.byteimg.com/tos-cn-i-k3u1fbpfcp/7bf61018d3a84ebe85cf13b4e01ac99b~tplv-k3u1fbpfcp-zoom-1.image)

其中包括**摘要算法、摘要加密算法等重要的密码学问题相关的信息**。\
同时点击查看证书时,可以查看到证书详情信息,如下图所示:\
![image.png](https://p3-juejin.byteimg.com/tos-cn-i-k3u1fbpfcp/1a0c77d74

最低0.47元/天 解锁文章
是怼怼呀11
关注
验证pe文件数字签名
一步一步
11-10 5151
// exam5.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include #include #include #include #include "mscat.h" #pragma comment (lib, "WinTrust.lib") BOOL CheckFileTrust(LPCTSTR lpFileName); BOOL C
验证 PE 文件的数字签名
蜡笔小辛的专栏
09-05 2949
360 这类软件,能实现验证已下载的可执行文件中数字签名的功能。如果数字签名正常,则提示安全,如果没有数字签名,或根证书不可信等,都会提示文件未知。 那么在程序里面怎么实现呢? // 代码共享如下,在Win2K sp4/WinXP sp2上调试通过。 BOOL Check
检验PE文件是否签名
ChinaPrc
09-09 340
#pragma unmanaged #include <stdio.h> #include <Windows.h> #include <wintrust.h> #include <wincrypt.h> #include <Softpub.h> BOOL VerifyEmbeddedSignature(LPCWSTR pwszSourceFile) { LONG lStatus; WINTRUST_FILE_INFO FileData;
PE文件添加数字签名
冷风
08-03 3674
呵呵 楚茗写过一个 给PE文件添加数字签名的小工具 很好用的 用途估计大家都知道的,KIS2009 在一定成度上检查PE文件的数字签名 跟小鱼聊天时他说这个实现非常简单,就是修改一个PE结构中的两个位置 一个是 数字签名的 物理便宜地址 一个是 签名文件的长度 具体讲就是 PE结构的 IMAGE_NT_HEADERS结构中有一个 IMAGE_OPTIONAL_H
验证PE文件签名-易语言
06-12
PE文件签名主要基于Windows的 Authenticode 技术,它由Microsoft引入以增强软件安全。 Authenticode 使用公钥基础设施(PKI)来对PE文件的哈希值进行数字签名,这个签名包含了发布者的证书,确保文件在分发过程中...
PE文件数字签名检测工具
12-04
PE文件数字签名检测工具,显示程序文件签名信息 ,可以查看文件是否签名以及签名证书信息
PE文件信息查看
05-07
这样的工具能够提供一种便捷的方式来查看PE文件的关键信息,包括但不限于头部信息、节区、导入导出表、资源、重定位以及签名等。这样的工具可以极大地提高工作效率,特别是在处理大量文件或需要快速检索信息时。 ...
二进制文件/PE文件对比工具非常好用
07-28
这款工具能够帮助用户分析并对比两个PE文件检测它们之间的差异,从而判断是否被篡改。 描述进一步解释了这个工具的功能,它能够进行二进制级别的比较,确保在两个PE文件之间,无论是代码还是数据,都能准确地找出...
Windows平台 PE文件数字签名格式
weixin_34272308的博客
07-10 256
摘要Authenticode®是一种数字签名格式,它是用来验证二进制软件的来源和完整性。Authenticode是基于公开密匙加密标准(PKCS) #7 来签名数据,并使用X.509证书来绑定经过数字签发的二进制程序与其软件发布者的身份的联系。这份文档包含Authenticode签名的结构和技术细节。 概览Overview 在PE文件中的可信代码数字签名是PKCS #7 签名块结构。该签名可以...
[网络安全自学篇] 六十一.PE文件逆向之数字签名详细解析及Signcode、PEView、010Editor、Asn1View等工具用法(二)
01-03
本系列虽然叫“网络安全自学篇”,但由于系统安全、软件安全与网络安全息息相关,作者同样会分享一些系统安全案例及基础工具用法,也是记录自己的成长史,希望大家喜欢,一起进步。前文 “[网络安全自学篇] 五十七.PE文件逆向之什么是数字签名及Signtool签名工具详解(一)” 分享了数字签名的原理知识,这篇文章将详细解析数字签名,采用Signtool工具对EXE文件进行签名,接着利用Asn1View、PEVie、010Editor等工具进行数据提取和分析,这是全网非常新的一篇文章,希望对您有所帮助~ 文章目录一.PE文件数字签名过程二.PE文件签名数据提取1.PEView查看签名信息2.010Edi
Windows PE文件中的验证码签名格式
10-13
Windows PE文件中的验证码签名格式
PE文件数字签名格式
her0z的专栏
02-13 4306
摘要Authenticode®是一种数字签名格式,它是用来验证二进制软件的来源和完整性。Authenticode是基于公开密匙加密标准(PKCS) #7 来签名数据,并使用X.509证书来绑定经过数字签发的二进制程序与其软件发布者的身份的联系。这份文档包含Authenticode签名的结构和技术细节。这份文档不讨论如何签发/处理X.509证书,如何使用Windows SDK工具来签署二进制
手动添加PE文件数字签名信息及格式详解图之下(历史代码,贴出学习)
关注互联网安全的小虾米一枚
07-22 5534
手动添加PE文件数字签名信息及格式详解图之下
PE文件数字签名格式 (收集)
weixin_30411819的博客
04-21 371
Windows平台PE文件数字签名格式 版本 1.0 — 2008年3月31日 摘要 Authenticode®是一种数字签名格式,它是用来验证二进制软件的来源和完整性。Authenticode是基于公开密匙加密标准(PKCS) #7 来签名数据,并使用X.509证书来绑定经过数字签发的二进制程序与其软件发布者的身份的联系。这份文档包含Authenticode签名的结构和技术细节。 这份文档不...
判断PE文件的数字签名信息
求索
03-30 2403
工作中碰到需要判断一个PE文件是否是所确认的文件,而不是被替换过的。直接判断文件名的话有些不保险,别人只要修改下文件名,就可以以假乱真。 因而需要判断额外的信息;由于文件有数字签名,判断数字签名因而是一个比较好的方法,但是如果只是判断数字签名是否有效也不够,别人只要用自己的证书重新签名就可以了,所以需要判断证书签名信息。   验证文件数字签名是否有效可以使用函数 WinVerifyTrus
PE文件解析-异常处理表与数字签名
zhyulo的博客
01-06 2839
一、异常处理表 1.位置及概述     PE文件头可选映像头中数据目录表的第4成员IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_DIRECTORY_ENTRY_EXCEPTION]指向异常处理表,它保存在PE文件中,通常在".pdata"区段。     x86系统采用动态的方式构建SEH结构,相比而言x64系统下采用静态的方式处理SEH结构。 2.异常处...
对Windows 平台下PE文件数字签名的一些研究
snowfoxmonitor的专栏
04-05 7365
Windows平台上PE文件的数字签名有两个作用:确保文件来自指定的发布者和文件签名后没有被修改过。因此有些软件用数字签名来验证文件是否来自家厂商以及文件的完整性,安全软件也经常通过验证文件是否有数字签名来防误报。但是因为windows对于常用的数字签名验证API- WinVerifyTrust实现的问题,以及一些并不恰当的示例代码,很多地方在验证数字签名时存在卡慢或者安全性不高的问题。本文将介...
PE文件头变形技术深入解析
1. **启发式分析**:安全软件可以采用启发式技术检测异常或可疑的PE文件特征,而不是仅仅依赖于固定的签名。 2. **沙箱技术**:通过在隔离环境中运行可疑程序,可以观察其行为来判断是否存在恶意行为。 3. **...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值