pe文件签名信息检测技术

举报
安全技术猿 发表于 2021/12/27 09:38:18 2021/12/27
【摘要】 签名信息中包含有很多有用的信息,可以辅助对二进制软件进行安全检测。读者可以从本博客中了解到pe文件中签名信息是如何组织的,如何用python代码从pe文件中获取内嵌的签名信息等知识。

什么是pe文件的签名信息:
以windows系统中NDIS.sys驱动程序为例,在该文件的右键属性窗口中,若包含数字签名属性页,则表示该pe文件内嵌有签名信息,如下图所示:
image.png

当双击签名列表时,可以查看数字签名信息详情,如下图所示:
image.png

在详情中包含了签名者信息以及签名时间戳等重要的信息,同时查看高级属性页时,可以看到更加丰富的签名信息,如下图所示:
image.png

其中包括摘要算法、摘要加密算法等重要的密码学问题相关的信息
同时点击查看证书时,可以查看到证书详情信息,如下图所示:
image.png

从中可以看到颁发者、证书有效期、公钥长度等重要信息。安全工具可以通过分析以上这些重要信息来判断是否存在安全风险。比如是否使用了不安全密码学算法、密钥长度是否满足安全规范、证书有效期是否有效等等。

pe文件如何保存这些签名信息数据的:
利用peview.exe工具来查看Ndis.sys驱动程序,可以看到签名信息存在于IMAGE_NT_HEADER结构里面,如下图所示:
image.png

该签名结构解析后可以得到签名信息在文件中的偏移地址和数据长度信息,python代码如下

security_entry = pefile.DIRECTORY_ENTRY["IMAGE_DIRECTORY_ENTRY_SECURITY"]
sig_off = pe_obj.OPTIONAL_HEADER.DATA_DIRECTORY[security_entry].VirtualAddress
sig_len = pe_obj.OPTIONAL_HEADER.DATA_DIRECTORY[security_entry].Size

根据偏移地址和数据长度获取签名数据,python代码如下:

with open(file_path, 'rb') as fh:
   fh.seek(sig_off)
   sig_raw_data = fh.read(sig_len)

# 签名数据的结构如下:
# DWORD   dwLength           签名证书数据长度
# WORD    wRevision           签名证书的版本号
# WORD    wCertificateType      签名证书类型
# BYTE     bCertificate[dwLength] 签名证书数据

# 签名证书的版本号
# Version 1 is the legacy version of WIN_CERTIFICATE.
WIN_CERT_REVISION_1_0 = 0x0100

# Version 2 is the current version of WIN_CERTIFICATE.
WIN_CERT_REVISION_2_0 = 0x0200

# 签名证书类型
# X.509 Certificate
WIN_CERT_TYPE_X509 = 0x0001

# PKCS SignedData structure
WIN_CERT_TYPE_PKCS_SIGNED_DATA = 0x0002

# Reserved
WIN_CERT_TYPE_RESERVED_1 = 0x0003

# Terminal Server Protocol Stack Certificate signing
WIN_CERT_TYPE_TS_STACK_SIGNED = 0x0004

使用ASN.1 Editor工具可以查看签名证书数据,如下图所示:
image.png

Python中可以利用asn1crypto组件来实现对签名证书的解析,python样例代码如下:

info = cms.ContentInfo.load(seq_data)
signed_data = info['content']
cert_set = signed_data["certificates"]

#通过遍历cert_set可以获取所有证书详情信息
for cert in cert_set:
cert_data = cert.dump()
cert = x509.Certificate.load(cert_data)
#解析cert就可以获取证书详情信息

#通过查找id-ct-TSTInfo content type 1.2.840.113549.1.9.16.1.4来获取签名时间信息
encap_content_info = signed_data['encap_content_info']
# id-ct-TSTInfo content type
tst_info = tsp.TSTInfo.load(encap_content_info['content'].parsed.dump())
signing_time = tst_info['gen_time'].native.astimezone().strftime('%Y-%m-%d %H:%M:%S')

另外在签名数据中包含有非签名的数据属性,python样例代码如下:
signer_info = cms.SignerInfo.load(obj.contents)
attrs = signer_info['unsigned_attrs']

需要注意的是不同的签名属性,获取签名时间戳等信息的方法是不同的,常见的属性有:
counter_signaturemicrosoft_nested_signaturemicrosoft_time_stamp_token
这些属性中嵌套有另外的签名证书结构数据

通过这些层层数据结构的解析就可以获取到所有的证书详情信息,如下图所示
image.png

总结】利用python可以方便的解析pe文件中的签名详情信息,从而来验证该软件的签名信息是否符合相关安全规范要求,实现安全检测。

可以试试下面的漏扫服务,看看系统是否存在安全风险:>>>漏洞扫描服务

【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。