Fork me on GitHub

pe 文件签名信息检测技术

什么是pe文件的签名信息:

以windows系统中NDIS.sys驱动程序为例,在该文件的右键属性窗口中,若包含数字签名属性页,则表示该pe文件内嵌有签名信息,如下图所示:
pe1.png
当双击签名列表时,可以查看数字签名信息详情,如下图所示:
pe2.png

在详情中包含了__签名者信息__以及__签名时间戳__等重要的信息,同时查看高级属性页时,可以看到更加丰富的签名信息,如下图所示:

pe3.png

其中包括__摘要算法、摘要加密算法等重要的密码学问题相关的信息__。

同时点击查看证书时,可以查看到证书详情信息,如下图所示:
pe4.png

从中可以看到__颁发者、证书有效期、公钥长度等重要信息__。安全工具可以通过分析以上这些重要信息来判断是否存在安全风险。比如是否使用了不安全密码学算法、密钥长度是否满足安全规范、证书有效期是否有效等等。

pe文件如何保存这些签名信息数据的:

利用peview.exe工具来查看Ndis.sys驱动程序,可以看到签名信息存在于__IMAGE_NT_HEADER结构__里面,如下图所示:pe5.png

该签名结构解析后可以得到签名信息在文件中的__偏移地址和数据长度__信息,python代码如下

security_entry =
pefile.DIRECTORY_ENTRY["IMAGE_DIRECTORY_ENTRY_SECURITY"]



sig_off = pe_obj.OPTIONAL_HEADER.DATA_DIRECTORY[security_entry].VirtualAddress



sig_len =
pe_obj.OPTIONAL_HEADER.DATA_DIRECTORY[security_entry].Size

根据偏移地址和数据长度获取签名数据,python代码如下:

with open(file_path, 'rb') as fh:



  
fh.seek(sig_off)



  
sig_raw_data = fh.read(sig_len)



 



# 签名数据的结构如下:



# DWORD  
dwLength           签名证书数据长度



# WORD   
wRevision           签名证书的版本号



# WORD   
wCertificateType      签名证书类型



# BYTE    
bCertificate[dwLength] 签名证书数据



 



# 签名证书的版本号



# Version 1 is the legacy version of
WIN_CERTIFICATE.WIN_CERT_REVISION_1_0 = 0x0100



 



# Version 2 is the current version of
WIN_CERTIFICATE.WIN_CERT_REVISION_2_0 = 0x0200



 



# 签名证书类型



# X.509 CertificateWIN_CERT_TYPE_X509 =
0x0001



 



# PKCS SignedData structureWIN_CERT_TYPE_PKCS_SIGNED_DATA
= 0x0002



 



# ReservedWIN_CERT_TYPE_RESERVED_1 = 0x0003



 



# Terminal Server Protocol Stack
Certificate signingWIN_CERT_TYPE_TS_STACK_SIGNED = 0x0004

使用ASN.1 Editor工具可以查看签名证书数据,如下图所示:
pe6.png

Python中可以利用__asn1crypto组件来实现对签名证书的解__析,python样例代码如下:

info = cms.ContentInfo.load(seq_data)



signed_data = info['content']



cert_set =
signed_data["certificates"]



 



#通过遍历cert_set可以获取所有证书详情信息for cert in cert_set:



cert_data = cert.dump()



cert = x509.Certificate.load(cert_data)



#解析cert就可以获取证书详情信息



 



#通过查找id-ct-TSTInfo
content type 1.2.840.113549.1.9.16.1.4来获取签名时间信息



encap_content_info =
signed_data['encap_content_info']



# id-ct-TSTInfo content type



tst_info =
tsp.TSTInfo.load(encap_content_info['content'].parsed.dump())



signing_time =
tst_info['gen_time'].native.astimezone().strftime('%Y-%m-%d %H:%M:%S')



 



另外在签名数据中包含有非签名的数据属性,python样例代码如下:



signer_info = cms.SignerInfo.load(obj.contents)



attrs = signer_info['unsigned_attrs']

需要注意的是不同的签名属性,获取签名时间戳等信息的方法是不同的,常见的属性有:

counter_signaturemicrosoft_nested_signaturemicrosoft_time_stamp_token

这些属性中嵌套有另外的签名证书结构数据

通过这些层层数据结构的解析就可以获取到所有的证书详情信息,如下图所示

pe7.png


本文地址:https://www.6aiq.com/article/1665654920473
本文版权归作者和AIQ共有,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出