pe文件签名信息检测技术

最新推荐文章于 2025-11-17 09:18:33 发布
原创 最新推荐文章于 2025-11-17 09:18:33 发布 · 410 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#大数据

本文介绍了如何从PE文件中提取签名信息,包括签名者、时间戳、摘要算法等,并展示了Python代码示例来解析签名数据,用于辅助安全评估。

【摘要】 签名信息中包含有很多有用的信息,可以辅助对二进制软件进行安全检测。读者可以从本博客中了解到pe文件中签名信息是如何组织的,如何用python代码从pe文件中获取内嵌的签名信息等知识。

**什么是pe文件的签名信息:**\
以windows系统中NDIS.sys驱动程序为例,在该文件的右键属性窗口中,若包含数字签名属性页,则表示该pe文件内嵌有签名信息,如下图所示:\
![image.png](https://p3-juejin.byteimg.com/tos-cn-i-k3u1fbpfcp/ed2e3f7a0f784dc4b8dd929ec39087e7~tplv-k3u1fbpfcp-zoom-1.image)

当双击签名列表时,可以查看数字签名信息详情,如下图所示:\
![image.png](https://p3-juejin.byteimg.com/tos-cn-i-k3u1fbpfcp/1606f0898c474b25a130d716b7d2080c~tplv-k3u1fbpfcp-zoom-1.image)

在详情中包含了**签名者信息**以及**签名时间戳**等重要的信息,同时查看高级属性页时,可以看到更加丰富的签名信息,如下图所示:\
![image.png](https://p3-juejin.byteimg.com/tos-cn-i-k3u1fbpfcp/7bf61018d3a84ebe85cf13b4e01ac99b~tplv-k3u1fbpfcp-zoom-1.image)

其中包括**摘要算法、摘要加密算法等重要的密码学问题相关的信息**。\
同时点击查看证书时,可以查看到证书详情信息,如下图所示:\
![image.png](https://p3-juejin.byteimg.com/tos-cn-i-k3u1fbpfcp/1a0c77d74f854683821d75d5b6219282~tplv-k3u1fbpfcp-zoom-1.image)

从中可以看到**颁发者、证书有效期、公钥长度等重要信息**。安全工具可以通过分析以上这些重要信息来判断是否存在安全风险。比如是否使用了不安全密码学算法、

最低0.47元/天 解锁文章
是怼怼呀11
关注
[网络安全自学篇] 六十一.PE文件逆向之数字签名详细解析及Signcode、PEView、010Editor、Asn1View等工具用法(二)
杨秀璋的专栏
03-24 1万+
本系列虽然叫“网络安全自学篇”,但由于系统安全、软件安全与网络安全息息相关,作者同样会分享一些系统安全案例及基础工具用法,也是记录自己的成长史,希望大家喜欢,一起进步。前文分享了数字签名的原理知识和Signtool签名工具,这篇文章将详细解析数字签名,采用Signtool工具对EXE文件进行签名,采用Asn1View、PEVie、010Editor等工具进行数据提取和分析,这是全网非常新的一篇文章,希望对您有所帮助~
验证pe文件数字签名
一步一步
11-10 5209
// exam5.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include #include #include #include #include "mscat.h" #pragma comment (lib, "WinTrust.lib") BOOL CheckFileTrust(LPCTSTR lpFileName); BOOL C
PE文件解析-异常处理表与数字签名
zhyulo的博客
01-06 2990
一、异常处理表 1.位置及概述     PE文件头可选映像头中数据目录表的第4成员IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_DIRECTORY_ENTRY_EXCEPTION]指向异常处理表,它保存在PE文件中,通常在".pdata"区段。     x86系统采用动态的方式构建SEH结构,相比而言x64系统下采用静态的方式处理SEH结构。 2.异常处...
详解PE文件(四):PE文件签名
最新发布
geesehoward20000的博客
11-17 381
PE文件签名是一个4字节的固定值,其十六进制值为0x00004550,对应的ASCII字符为"PE\0\0"。这个签名位于NT头的开始位置,紧跟在DOS头和DOS Stub程序之后。0x5A4D// "MZ"0x454E// "NE"0x454C// "LE"0x454C// "LE"0x00004550PE文件签名PE文件格式的核心标识之一,它确保了操作系统能够正确识别和处理PE文件。通过检查"PE\0\0"签名,系统可以快速判断文件是否为有效的PE格式,并继续进行后续的加载和执行过程。
验证 PE 文件的数字签名
蜡笔小辛的专栏
09-05 3014
360 这类软件,能实现验证已下载的可执行文件中数字签名的功能。如果数字签名正常,则提示安全,如果没有数字签名,或根证书不可信等,都会提示文件未知。 那么在程序里面怎么实现呢? // 代码共享如下,在Win2K sp4/WinXP sp2上调试通过。 BOOL Check
检验PE文件是否签名
ChinaPrc
09-09 379
#pragma unmanaged #include <stdio.h> #include <Windows.h> #include <wintrust.h> #include <wincrypt.h> #include <Softpub.h> BOOL VerifyEmbeddedSignature(LPCWSTR pwszSourceFile) { LONG lStatus; WINTRUST_FILE_INFO FileData;
精选资源
验证PE文件签名-易语言
06-12
PE文件签名主要基于Windows的 Authenticode 技术,它由Microsoft引入以增强软件安全。 Authenticode 使用公钥基础设施(PKI)来对PE文件的哈希值进行数字签名,这个签名包含了发布者的证书,确保文件在分发过程中...
PE文件数字签名检测工具
12-04
PE文件数字签名检测工具,显示程序文件签名信息 ,可以查看文件是否签名以及签名证书信息
16、恶意软件检测技术:自动生成字符串签名PE文件特征挖掘
data3的博客
10-03 21
本文探讨了两种恶意软件检测技术:自动生成字符串签名PE-Miner框架。前者通过多组件签名提升覆盖率与降低误报率,后者利用PE文件结构特征实现高效实时检测。文章分析了各自的优势与局限性,并提出了引入动态解包、黑名单策略、研究变形工具及结合动态分析等未来改进方向,为应对日益复杂的恶意软件威胁提供了技术思路和发展路径。
PE文件信息查看
05-07
这样的工具能够提供一种便捷的方式来查看PE文件的关键信息,包括但不限于头部信息、节区、导入导出表、资源、重定位以及签名等。这样的工具可以极大地提高工作效率,特别是在处理大量文件或需要快速检索信息时。 ...
PE文件添加数字签名
冷风
08-03 3719
呵呵 楚茗写过一个 给PE文件添加数字签名的小工具 很好用的 用途估计大家都知道的,KIS2009 在一定成度上检查PE文件的数字签名 跟小鱼聊天时他说这个实现非常简单,就是修改一个PE结构中的两个位置 一个是 数字签名的 物理便宜地址 一个是 签名文件的长度 具体讲就是 PE结构的 IMAGE_NT_HEADERS结构中有一个 IMAGE_OPTIONAL_H
Windows PE文件中的验证码签名格式
10-13
Windows PE文件中的验证码签名格式
Windows平台 PE文件数字签名格式
weixin_34272308的博客
07-10 300
摘要Authenticode®是一种数字签名格式,它是用来验证二进制软件的来源和完整性。Authenticode是基于公开密匙加密标准(PKCS) #7 来签名数据,并使用X.509证书来绑定经过数字签发的二进制程序与其软件发布者的身份的联系。这份文档包含Authenticode签名的结构和技术细节。 概览Overview 在PE文件中的可信代码数字签名是PKCS #7 签名块结构。该签名可以...
6-PE文件签名
weixin_40332490的博客
01-05 1624
Authenticode是微软开发的一种代码签名技术,用于帮助用户检查已签名程序的发布者,确保程序在传输过程中没有被攻击者篡改。此外,用于签名签名证书必须经过可信证书颁发机构(CA)的验证,以确保所签名文件是来自发布者的。
PE文件数字签名格式
her0z的专栏
02-13 4434
摘要Authenticode®是一种数字签名格式,它是用来验证二进制软件的来源和完整性。Authenticode是基于公开密匙加密标准(PKCS) #7 来签名数据,并使用X.509证书来绑定经过数字签发的二进制程序与其软件发布者的身份的联系。这份文档包含Authenticode签名的结构和技术细节。这份文档不讨论如何签发/处理X.509证书,如何使用Windows SDK工具来签署二进制
手动添加PE文件数字签名信息及格式详解图之下(历史代码,贴出学习)
关注互联网安全的小虾米一枚
07-22 5685
手动添加PE文件数字签名信息及格式详解图之下
PE文件数字签名格式 (收集)
weixin_30411819的博客
04-21 402
Windows平台PE文件数字签名格式 版本 1.0 — 2008年3月31日 摘要 Authenticode®是一种数字签名格式,它是用来验证二进制软件的来源和完整性。Authenticode是基于公开密匙加密标准(PKCS) #7 来签名数据,并使用X.509证书来绑定经过数字签发的二进制程序与其软件发布者的身份的联系。这份文档包含Authenticode签名的结构和技术细节。 这份文档不...
PE文件头变形技术深入解析
1. **启发式分析**:安全软件可以采用启发式技术检测异常或可疑的PE文件特征,而不是仅仅依赖于固定的签名。 2. **沙箱技术**:通过在隔离环境中运行可疑程序,可以观察其行为来判断是否存在恶意行为。 3. **...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值