程序签名自校验 ,防止程序被病毒注入

最新推荐文章于 2022-03-08 14:41:42 发布
最新推荐文章于 2022-03-08 14:41:42 发布
阅读量621 收藏
点赞数 1
分类专栏: Windows 文章标签: 签名 自校验 数字签名 代码签名 校验签名
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38777624/article/details/119575490
版权
该代码实现了一个用于软件数字签名校验的函数,通过WinVerifyTrust API检查程序是否被篡改。它首先获取文件的签名信息,然后从签名中提取公钥,并与传入的公钥TLV数据进行比较,确保两者一致以验证签名的合法性。
摘要由CSDN通过智能技术生成 
/*****************************************************/
/*              软件本身数字签名校验
/*参数:
/*	    unsigned char* pubkeyTLV       公钥TLV数据
/*		unsigned int uiPubKLen         数据长度
/*返回值:
/*		TRUE		签名正常,程序未被改动
/*		FALSE       签名无效,程序被篡改
/*****************************************************/

BOOL CodeSigningCheck(unsigned char* pubkeyTLV, unsigned int uiPubKLen) {
    WCHAR wPath[MAX_PATH] = L"C:\\Users\\hdzblxn\\Downloads\\Signtool GUI\\signInvalid.exe";
    //GetModuleFileNameW(NULL, wPath, MAX_PATH);


    //判断是否有
    GUID guidAction = WINTRUST_ACTION_GENERIC_VERIFY_V2;
    WINTRUST_FILE_INFO FileData;
    memset(&FileData, 0, sizeof(FileData));
    FileData.cbStruct = sizeof(WINTRUST_FILE_INFO);
    FileData.pcwszFilePath = (LPCWSTR)wPath;
    FileData.hFile = NULL;
    FileData.pgKnownSubject = NULL;

    WINTRUST_DATA WinTrustData;
    memset(&WinTrustData, 0, sizeof(WINTRUST_DATA));
    WinTrustData.cbStruct = sizeof(WINTRUST_DATA);
    WinTrustData.pPolicyCallbackData = NULL;
    WinTrustData.pSIPClientData = NULL;
    WinTrustData.dwUIChoice = WTD_UI_NONE;
    WinTrustData.fdwRevocationChecks = WTD_REVOKE_NONE;
    WinTrustData.dwUnionChoice = WTD_CHOICE_FILE;
    WinTrustData.dwStateAction = WTD_STATEACTION_VERIFY;
    WinTrustData.hWVTStateData = NULL;
    WinTrustData.pwszURLReference = NULL;
    WinTrustData.dwProvFlags = WTD_SAFER_FLAG;
    WinTrustData.dwUIContext = 0;
    WinTrustData.pFile = &FileData;

    HRESULT hr = WinVerifyTrust(NULL, &guidAction, &WinTrustData);

    WinTrustData.dwUIChoice = WTD_UI_NONE;
    WinTrustData.dwStateAction = WTD_STATEACTION_CLOSE;
    WinVerifyTrust((HWND)INVALID_HANDLE_VALUE, &guidAction, &WinTrustData);
    if (hr != S_OK) {
        return FALSE;
    }

    HCERTSTORE		  hStore = NULL;
    HCRYPTMSG		  hMsg = NULL;
    PCCERT_CONTEXT    pCertContext = NULL;
    BOOL			  bResult;
    DWORD dwEncoding, dwContentType, dwFormatType;
    PCMSG_SIGNER_INFO pSignerInfo = NULL;
    PCMSG_SIGNER_INFO pCounterSignerInfo = NULL;
    DWORD			  dwSignerInfo;
    CERT_INFO		  CertInfo;
    SYSTEMTIME        st;
    LONG              lRet;
    DWORD             dwDataSize = 0;

    char   chTemp[MAX_PATH] = { 0 };

    //从签名文件中获取存储句柄
    bResult = CryptQueryObject(
                            CERT_QUERY_OBJECT_FILE,
                            wPath,
                            CERT_QUERY_CONTENT_FLAG_PKCS7_SIGNED_EMBED,
                            CERT_QUERY_FORMAT_FLAG_BINARY,
                            0,
                            &dwEncoding,
                            &dwContentType,
                            &dwFormatType,
                            &hStore,
                            &hMsg,
                            NULL
                        );

    if (!bResult){
        return FALSE;
    }

    获取签名个数
    //DWORD certNum = 0;
    //DWORD certNumSize = sizeof(certNum);
    //bResult = CryptMsgGetParam(
    //        hMsg,
    //        CMSG_SIGNER_COUNT_PARAM,
    //        0,
    //        &certNum,
    //        &certNumSize
    //    );


    //获取签名信息所需的缓冲区大小
    bResult = CryptMsgGetParam(
                                hMsg,
                                CMSG_SIGNER_INFO_PARAM,
                                0,
                                NULL,
                                &dwSignerInfo
                            );
    if (!bResult){
        return FALSE;
    }

    //分配缓冲区
    pSignerInfo = (PCMSG_SIGNER_INFO)LocalAlloc(LPTR, dwSignerInfo);
    if (pSignerInfo == NULL){
        return FALSE;
    }


    //获取签名信息
    bResult = CryptMsgGetParam(
                                hMsg,
                                CMSG_SIGNER_INFO_PARAM,
                                0,
                                pSignerInfo,
                                &dwSignerInfo
                            );
    if (!bResult){
        LocalFree((HLOCAL)pSignerInfo);
        return FALSE;
    }

    CertInfo.Issuer = pSignerInfo->Issuer;
    CertInfo.SerialNumber = pSignerInfo->SerialNumber;

    //获取签名证书公钥
    pCertContext = CertFindCertificateInStore(
                                            hStore,
                                            dwEncoding,
                                            0,
                                            CERT_FIND_SUBJECT_CERT,
                                            (PVOID)&CertInfo,
                                            NULL
                                        );
    LocalFree((HLOCAL)pSignerInfo);
    if (pCertContext == NULL){
        return FALSE;
    }
    CRYPT_BIT_BLOB& pubkBlob = pCertContext->pCertInfo->SubjectPublicKeyInfo.PublicKey;

    //对比公钥TLV结构
    if (uiPubKLen != pubkBlob.cbData || memcmp(pubkeyTLV, pubkBlob.pbData, uiPubKLen) != 0) {
        CertFreeCertificateContext(pCertContext);
        pCertContext = NULL;
        CertCloseStore(hStore, NULL);
        hStore = NULL;
        return FALSE;
    }
    
    CertFreeCertificateContext(pCertContext);
    pCertContext = NULL;
    CertCloseStore(hStore, NULL);
    hStore = NULL;
    return TRUE;
}

其中入参 pubkeyTLV 是签名的证书公钥数据(TLV)
在这里插入图片描述
入参 uiPubKLen ,对于2048RSA证书来说,是270

空持百千偈
关注
专栏目录
[网络安全自学篇] 七十九.Windows PE病毒原理、分类及感染方式详解
杨秀璋的专栏
05-20 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了XSS跨站脚本攻击案例,主要内容包括XSS原理、不同类型的XSS、XSS靶场9道题目、如何御XSS。这篇文章将介绍Windows PE病毒, 包括PE病毒原理、分类及感染方式详解,并通过案例进行介绍。基础性文章,希望对您有所帮助~
[网络安全自学篇] 七十一.深信服分享之外部威胁护和勒索病毒对抗
热门推荐
杨秀璋的专栏
04-29 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前面三篇文章详细分享了WannaCry勒索病毒,包括病毒复现、IDA和OD逆向分析蠕虫传播、护措施等,那么如何护呢?所以,接下来这篇文章作者将分享来自深信服老师的《外部威胁护和勒索病毒对抗》,带领大家看看知名安全厂商的威胁护措施,包括网络安全面临的挑战、如何有效的应对挑战、深信服安全建设之道等。基础性文章,希望对您有所帮助,如果存在错误或不足之处,还望告知,加油!
ssdkhook之ntopenprocess_保护用户层的应用程序不被ce打开_完美版
01-31 900
#include"ntddk.h" NTSTATUS PsLookupProcessByProcessId( _In_ HANDLE ProcessId, _Out_ PEPROCESS *Process ); #pragma pack(1) //写这个内存以一字节对齐 如果不写是以4字节的对齐的 typedef struct ServiceDescriptorEntry {//这个
C++ 验证微软数字签名
zhihu008的专栏
01-11 6409
C++ 验证微软数字签名    BOOL CheckFileTrust( LPCWSTR lpFileName ) { BOOL bRet = FALSE; WINTRUST_DATA wd = { 0 }; WINTRUST_FILE_INFO wfi = { 0 }; WINTRUST_CATALOG_INFO wci = { 0 }; CATALOG_INFO ci
程序客服接口签名校验
zhf_123666的博客
04-19 428
package com.campuswx.controller; import java.io.IOException; import java.io.PrintWriter; import java.security.MessageDigest; import java.security.NoSuchAlgorithmException; import java.util.Arrays; im...
自动校正程序
多头注意力探索Now
03-08 222
package com.patience.interview.algorithms; /** * day 3 自动校正程序 * @author Green.Gee * @date 2022/3/7 18:19 * @email green.gee.lu@gmail.com */ public class SolveQ3 { /** * 输入描述: * 第一行包括一个数字N,表示本次用例包括多少个待校验的字符串。 * * 后面跟随N行,每行为一个待校
常见自校检分析实例
06-04 884
自校检是许多软件的保护手段之一,对软件加个简单的壳再增加自校检在一定程序上可以抵挡住一大部分新手,不过,对许多人来说,这个保护已经很弱了。可是,搜索论坛,居然没有一篇系统的文章。不知道是大家太忙了还是因为要守住点秘密。其实大部分技术应该拿出来交流才好,只有交流才有进步。就象老王的EPE,netsowell一次一次的脱壳文章,才促使老王一次一次的升级,保护强度也越来越强。废话一堆,不讲了。下面讲几种
自动生成校验位软件
04-08
自动生成产品序列号的校验位(产品序列号低于64位),C#编写Windows应用程序
利用证书签名绕过杀软
Zlirving_的博客
02-28 2948
此文乃一般水文 ~ 师傅们轻喷 此文的起端是这样的,在做实验的时候,很多次双击执行文件时,都显示软件不安全或者软件并无签名无法校验什么鬼等操作…在我午休的时候死活睡不着,我就想着能不能给执行文件加个证书?顺便看看能绕过多少杀软?所以就有了以下文章 证书签名 很多安装包都有签名,也可以说是为了防止他人恶意纂改倒不如说是为了让杀毒软件认为是安全的而不把你的东西干掉,当然一般自签名的人家也不认,需要付费买人家的根证书进行签名,好不容易自制个安装包让客户安装还被恶意毒杀,啊这… (所以鄙人只能学习自制证书了,买不起
App安全(一) Android防止升级过程被劫持和换包
Tamic (大白)
08-17 1万+
文/ Tamic 地址/ http://blog.csdn.net/sk719887916/article/details/52233112 前言APP 安全一直是开发者头痛的事情,越来越多的安全漏洞,使得开发者越来越重视app安全,目前app安全主要有由以下几部分APP组件安全Android 包括四大组件:Activitie、Service、Content Provider、Broadba
确实可行的EXE注入
11-23
木马的雏形代码,这个程序通过通过系统进程来建立傀儡进程来隐藏自己!!!
注入助手X64版本.exe
05-16
64位注入器,支持多种静态和动态方式注入模式,方便易用!
c#升级程序
01-25
- 更新过程需在受保护的环境中执行,防止中间人攻击或病毒注入。 10. **测试与部署**: - 充分的单元测试和集成测试确保新版本功能正常,性能稳定。 - 使用自动化部署工具(如Octopus Deploy)进行版本发布,...
[网络安全自学篇] 五十七.PE文件逆向之什么是数字签名及Signtool签名工具详解(一)
杨秀璋的专栏
03-10 1万+
本系列虽然叫“网络安全自学篇”,但由于系统安全、软件安全与网络安全息息相关,作者同样会分享一些系统安全案例及基础工具用法,也是记录自己的成长史,希望大家喜欢,一起进步。前文讲解了i春秋YOU老师的小白渗透之路,并结合作者系列文章总结Web渗透技术点。本文将开启PE文件逆向解析相关内容,预计会连续分享六篇文章,第一篇告诉大家什么是数字签名,并采用Signtool工具对EXE文件进行签名,后续深入分析数字签名的格式及PE病毒内容。本文章适合初学者学习,希望对您有所帮助~
[C++]EXE校验自身数字签名
tzwsoho的专栏
04-29 2341
<br />#include <WinTrust.h> #include <Softpub.h> #pragma comment(lib, "WinTrust.lib") int main() { TCHAR szExe[MAX_PATH]; //_tprintf(_T("Please Type Exe File Path:/n")); //_tscanf_s(_T("%ws"), szExe, MAX_PATH); ::GetModuleFileName(::AfxGetI
注入的解决办法【引用】
weixin_34348111的博客
03-29 99
我刚为一台服务器处理了这种情况,区别只是被插人的JS地址不一样而已 说说我的做法 恢复数据库这些废话不说 补救措施有: 1、修补代码注入漏洞 过滤字符不是根本方法(select ,updata ,insert 这些是必须屏蔽的),百密一疏在所难免,好方法是把拼凑的SQL语句全部改为参数化; 所谓参数化,例如 select * from tableName w...
【C++】获取软件的数字签名
04-28 4074
#include <wincrypt.h> #pragma comment(lib, "crypt32.lib") //作用:获取软件的数字签名 //参数: // v_pwszFilePath --- 程序的全路径 // v_pwszSign --- 用于返回数字签名的缓冲区,如果为NULL, // 那么将会需要的缓冲区大小 ...
X86逆向练习5:破解程序的自效验
weixin_30764137的博客
07-10 607
在软件的破解过程中,经常会遇到程序的自效验问题,什么是自效验?当文件大小发生变化,或者MD5特征变化的时候就会触发自效验暗装,有些暗装是直接退出,而有些则是格盘蓝屏等,所以在调试这样的程序的时候尽量在虚拟机里面进行吧。 这里作者编写了一个文件自效验的例子,并且使用UPX进行了加壳处理,这个CM程序,如果不脱壳的情况下是可以正常执行的,但只要一脱壳程序就废了,这也是大多数程序作者惯用的反破解...
delphi EXE文件自效验
靠别人不如靠自已。
05-23 2419
<br />var stream: TMemoryStream; CrcValue,OldCrcValue: DWORD; exename: string; WriteBuf: array[0..3] of Byte; begin CRCValue := $FFFFFFFF; // 预设 WriteBuf[0]:= $00; WriteBuf[1]:= $00; WriteBuf[2]:= $00; WriteBuf[3]:= $00; exename:= appl
微信小程序登录签名校验
最新发布
05-18
微信小程序登录签名校验是为了防止恶意攻击和数据篡改的一种安全机制。校验过程如下: 1. 获取小程序登录时获取的code。 2. 将code、小程序的AppID和密钥(即AppSecret)拼接成一个字符串,形如:`appid=APPID&secret=APPSECRET&js_code=JSCODE&grant_type=authorization_code`。 3. 对该字符串进行SHA1算法加密,得到签名signature。 4. 将小程序传递过来的签名signature和自己计算出来的签名signature进行比对,如果一致,则说明请求合法,可以继续进行后续操作。 需要注意的是,密钥(AppSecret)需要妥善保管,不应该直接暴露在客户端代码中,否则可能被攻击者恶意利用。建议将密钥存储在服务端,通过后台接口进行校验
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值