什么是数字签名软件(数字证书签名软件)

文章目录:

一.PE文件的数字签名

1.概念普及

2.Github网站证书验证过程

二.阮一峰老师告诉大家什么是数字签名

三.Signtool签名PE文件

推荐前文:网络安全自学篇系列-100篇

https://blog.csdn.net/eastmount/category_9183790.htm

逆向分析:https://github.com/eastmountyxz/

SystemSecurity-ReverseAnalysis

网络安全:https://github.com/eastmountyxz/

NetworkSecuritySelf-study

声明:本人坚决反对利用教学方法进行犯罪的行为,一切犯罪行为必将受到严惩,绿色网络需要我们共同维护,更推荐大家了解它们背后的原理,更好地进行防护。该样本不会分享给大家,分析工具会分享。(参考文献见后)

一.PE文件的数字签名1.概念普及

(1) PE文件PE文件的全称是Portable Executable,意为可移植的可执行的文件,常见的EXE、DLL、OCX、SYS、COM都是PE文件,PE文件是微软Windows操作系统上的程序文件(可能是间接被执行,如DLL)。后续文章会详细分析PE文件格式。

(2) 为什么要对PE文件进行数字签名呢?

防篡改:通过对数字签名的验证,保证文件未被非法篡改。

降低误报:安全软件通过验证文件是否有正规厂商的数字签名来降低误报。

(3) PE文件数字签名及验证过程签名:

软件发布者使用散列算法(如MD5或SHA)计算PE文件的散列值。

软件发布者使用私钥对散列值进行签名得到签名数据。

将签名私钥对应的公钥和签名数据等以证书的形式附加在PE文件之中,形成经过数字签名的PE文件。

软件发布者将经过数字签名的PE文件进行发布。

验证:

从PE文件证书中提取软件发布者的公钥、使用的散列算法、签名算法、原始散列值的签名数据。

使用提取的公钥和对应签名验证算法将签名数据还原为原始PE文件的原始散列值。

对现有PE文件使用同样的散列算法计算出对应的散列值。

对比两个散列值是否一致,从而判断数据是否被破坏和篡改。

什么是数字签名软件(数字证书签名软件)

(4) PE文件数字签名的总体结构PE文件数字签名信息存放在Certificate Table位置,同时PE文件可选文件头DataDirecotry第5项记录文件偏移及大小。

使用PEView查看签名前后对比图,可以看到Certificate Table存储相关签名信息。

对应的证书信息及证书路径如下图所示,包括签名算法、哈希算法、有效期、颁发者信息等。

(6) 微软数字签名证书查看接着,我带领大家看看Windows证书。运行中输入“certmgr.msc”,可以看到这里面有5个系统默认的ECC签名的根证书,如下图所示。

我们随意导出其中一个根证书,导出直接选择Base64编码那个就行。

(7) 数字签名常用算法及应用领域数字签名常用算法包括:

RSA数字签名算法基于大整数分解问题,MD5、SHA

DSA数字签名算法基于离散对数问题

ECDSA椭圆曲线数字签名算法ECC DSA,椭圆加密算法,属于DSA的一个变种,基于椭圆曲线上的离散对数问题

其应用领域包括:

PE文件数字签名

HTTPS数字签名

电子邮件数字签名

Office文档数字签名

代码数字签名

2.Github网站证书验证过程

接着看看Github网站进行微软证书验证的过程。

在Windows系统访问一个网站(例Github.com)时,该网站会向Windows系统发送由第三方权威机构(CA)签署的网站证书。

Windows系统则会验证该证书是否由CA颁发,若验证通过,则Windows系统与网站成功建立TLS链接。

为了方便下一次更快的访问,Windows将验证成功的证书放入内存中一块Certificate Cache(证书缓存)中。在下一次校验时,如果该证书存在于缓存中,则直接取缓存中的值进行校验。这里利用CVE-2020-0601。

在成功缓存证书数据后,根据下面描述的Windows证书缓存机制,恶意网站可以伪造虚假的网站(例github.com)证书且通过Windows验证,将自身伪装成合法网站。

当 Windows 接收到新的证书时,Windows 将新接收的证书与已缓存证书的证书的公钥进行遍历对比,寻找匹配的值。

伪造的恶意证书与Windows系统中的缓存证书有同样的公钥,但Curve项没有在校验范围内,所以可以通过构造自定义Curve来伪造证书。使得证书验证流程依然成立,但通过验证的证书已经不是之前成功验证的安全证书。

在第23篇文章中,我们将详细复现微软证书CVE-2020-0601漏洞。

二.阮一峰老师告诉大家什么是数字签名

参考文章:数字签名是什么?- 阮一峰What is a Digital Signature? – 原始网站

写到这里,您可能还是很疑惑“什么是数字签名”?下面我通过阮一峰老师的博客进行讲解,个人认为这是一篇讲得比较清晰的原理文章,同时也包含了网络安全中加密解密、信息传输等知识。

(1) 假设鲍勃有两把钥匙,一把是公钥,另一把是私钥。

(2) 鲍勃把公钥送给他的朋友们—-帕蒂、道格、苏珊—-每人一把。

(3) 苏珊要给鲍勃写一封保密的信。她写完后用鲍勃的公钥加密,就可以达到保密的效果。

(4) 鲍勃收信后,用私钥解密,就看到了信件内容。这里要强调的是,只要鲍勃的私钥不泄露,这封信就是安全的,即使落在别人手里,也无法解密。

(5) 鲍勃给苏珊回信,决定采用”数字签名”。他写完后先用Hash函数,生成信件的摘要(digest)。

(6) 然后,鲍勃使用私钥,对这个摘要加密,生成”数字签名”(signature)。

(7) 鲍勃将这个签名,附在信件下面,一起发给苏珊。

(8) 苏珊收信后,取下数字签名,用鲍勃的公钥解密,得到信件的摘要。由此证明,这封信确实是鲍勃发出的。

(9) 苏珊再对信件本身使用Hash函数,将得到的结果,与上一步得到的摘要进行对比。如果两者一致,就证明这封信未被修改过。

(10) 复杂的情况出现了。道格想欺骗苏珊,他偷偷使用了苏珊的电脑,用自己的公钥换走了鲍勃的公钥。此时,苏珊实际拥有的是道格的公钥,但是还以为这是鲍勃的公钥。因此,道格就可以冒充鲍勃,用自己的私钥做成”数字签名”,写信给苏珊,让苏珊用假的鲍勃公钥进行解密。

(11) 后来,苏珊感觉不对劲,发现自己无法确定公钥是否真的属于鲍勃。她想到了一个办法,要求鲍勃去找”证书中心”(certificate authority,简称CA),为公钥做认证。证书中心用自己的私钥,对鲍勃的公钥和一些相关信息一起加密,生成”数字证书”(Digital Certificate)。

(12) 鲍勃拿到数字证书以后,就可以放心了。以后再给苏珊写信,只要在签名的同时,再附上数字证书就行了。

(13) 苏珊收信后,用CA的公钥解开数字证书,就可以拿到鲍勃真实的公钥了,然后就能证明”数字签名”是否真的是鲍勃签的。

(14) 下面,我们看一个应用”数字证书”的实例:https协议。这个协议主要用于网页加密。首先,客户端向服务器发出加密请求。

(15) 服务器用自己的私钥加密网页以后,连同本身的数字证书,一起发送给客户端。

(16) 客户端(浏览器)的”证书管理器”,有”受信任的根证书颁发机构”列表。客户端会根据这张列表,查看解开数字证书的公钥是否在列表之内。

(17) 如果数字证书记载的网址,与你正在浏览的网址不一致,就说明这张证书可能被冒用,浏览器会发出警告。

(18) 如果这张数字证书不是由受信任的机构颁发的,浏览器会发出另一种警告。如果数字证书是可靠的,客户端就可以使用证书中的服务器公钥,对信息进行加密,然后与服务器交换加密信息。

数字签名是为了保证数据完整性。通过它可以判断数据是否被篡改,私钥加密完的数据所有知道公钥的都可以解密,这样不安全。私钥加密的作用是为了确认身份,用对应的公钥解密摘要,则证明摘要来自谁,起到签名的作用。

三.Signtool签名PE文件

逆向分析:https://github.com/eastmountyxz/

SystemSecurity-ReverseAnalysis

软件安全:https://github.com/eastmountyxz/

Software-Security-Course

该test.exe程序后续文章也会分享,均上传至Github。

第一步,通过makecert.exe生成需要的证书,生成两个文件分别是test.cer和test.PVK。

cd SignToolmakecert -$ “individual” -r /sv “test.PVK” /n “CN=Windows,E=microsoft,O=微软” test.cer

创建过程中需要输入私钥密码,这里设置为“123456789”。

安装并信任该证书。

第三步,利用signcode.exe工具进行数据签名,选择需要签名的“test.exe”程序。

第八步,此时test.exe文件完成数字签名,打开该exe文件属性,如下图所示,可以看到签名相关信息。注意,该数字签名正常且颁发者为Windows。

最后我们使用PEView软件打开PE文件,可以看到签名前和签名后的结构存在“CERTIFICATE Table”区别。

下一篇文章将详细分析数字签名的结构。

四.总结

文章写到这里,就介绍完毕,希望文章对您有所帮助。这篇文章主要讲解:

PE文件数字签名

分享阮一峰老师的博客,告诉大家什么是数字签名

结合SignTool工具对EXE文件进行签名

[系统安全] 一.什么是逆向分析、逆向分析应用及经典扫雷游戏逆向

[系统安全] 二.如何学好逆向分析及吕布传游戏逆向案例

[系统安全] 三.IDA Pro反汇编工具初识及逆向工程解密实战

[系统安全] 四.OllyDbg动态分析工具基础用法及Crakeme逆向破解

[系统安全] 五.OllyDbg和Cheat Engine工具逆向分析植物大战僵尸游戏

[系统安全] 六.逆向分析之条件语句和循环语句源码还原及流程控制

[系统安全] 七.逆向分析之PE病毒原理、C 实现文件加解密及OllyDbg逆向

[系统安全] 八.Windows漏洞利用之CVE-2019-0708复现及蓝屏攻击

[系统安全] 九.Windows漏洞利用之MS08-067远程代码执行漏洞复现及深度提权

[系统安全] 十.Windows漏洞利用之SMBv3服务远程代码执行漏洞(CVE-2020-0796)复现

[系统安全] 十一.那些年的熊猫烧香及PE病毒行为机理分析

[系统安全] 十二.熊猫烧香病毒IDA和OD逆向分析(上)病毒初始化

[系统安全] 十三.熊猫烧香病毒IDA和OD逆向分析(中)病毒释放机理

[系统安全] 十四.熊猫烧香病毒IDA和OD逆向分析(下)病毒感染配置

[系统安全] 十五.Chrome密码保存功能渗透解析、Chrome蓝屏漏洞及音乐软件漏洞复现

[系统安全] 十七.Windows PE病毒概念、分类及感染方式详解

[系统安全] 十八.病毒攻防机理及WinRAR恶意劫持漏洞(bat病毒、自启动、蓝屏攻击)

[系统安全] 十九.宏病毒之入门基础、防御措施、自发邮件及APT28宏样本分析

[系统安全] 二十.PE数字签名之(上)什么是数字签名及Signtool签名工具详解

发表评论

登录后才能评论