现有安全工具对进程加载dll模块的数字签名检测的问题

最新推荐文章于 2024-05-28 10:41:58 发布
最新推荐文章于 2024-05-28 10:41:58 发布
阅读量814 收藏
点赞数
分类专栏: 安全开发 Windows逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43312649/article/details/118733405
版权

最近在做一个检验全进程dll签名情况的程序。发现了现有安全工具一些比较沙雕的行为。

PChunter

首先点名PChunter,查找没有数字签名模块,但是C:\Tools\Sanbox\SbieDll.dll我看了下明明具有数字签名,而且签名还正常,它是沙箱的一个正常dll。证据确凿,有什么好狡辩的。
在这里插入图片描述

Procexp

用微软自己出的procexp检查进程的模块签名情况时,发现一些db都往模块里搞。看了下文件的确只是个DB,根本不是PE格式。当然还有一些PNG格式也在模块列表中,服。
在这里插入图片描述

伟大发明

看我的工具。
在这里插入图片描述
未签名的dll模块一般在system32目录、WinSxS目录还有assembly。去掉这些误报,基本都是比较好的检测效果。

摔不死的笨鸟
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
验证exe,dll证书签名
04-27
从exe,dll等可执行文件中,读出证书签名数据,并写入txt文件
应用程序(DLL,OCX,CAB等)签名移除工具(32&64;)
04-26
应用程序签名的移除工具,包含32位和64位两个版本,生成的文件是未签名的,可用于重新对文件进行签名
应急响应入侵排查篇
最新发布
y15754的博客
05-28 505
入侵排查• 检查方法:据实际情况咨询相关服务器管理员。• 检查方法:打开 cmd 窗口,输入 lusrmgr.msc 命令,查看是否有新增/可疑的账号,如有管理员群组的(Administrators)里的新增账户,如有,请立即禁用或删除掉。• 检查方法:• b、使用D盾_web查杀工具,集成了对克隆账号检测的功能。• a、打开注册表 ,查看管理员对应键值。• 检查方法:• a、Win+R 打开运行,输入"eventvwr.msc",回车运行,打开“事件
计算机杀毒软件的功能,PC Hunter64(手工杀毒软件)的详细功能介绍
weixin_28873663的博客
07-24 1251
最近很多伙伴表示自己还不了解PC Hunter64(手工杀毒软件),为了让大伙快速入手操作,今日小编专门分享了PC Hunter64(手工杀毒软件)的详细功能内容,希望可以帮助到大家。一、进程与线程一般来说,将正在计算机执行的程序叫做“进程”(Process),而不将其称为程序(Program)。所谓“线程”(Thread);是“进程”中某个单一顺序的控制流。一个程序中同时使用多个线程来完成不同的...
转一篇DLL逆向的文章,适用于一般的dll逆向
weixin_30435261的博客
11-18 2207
转一篇DLL逆向的文章,适用于一般的dll逆向,我使用的库是一组DLL,都有强签名,如下方法不适合,编译会提示强签名错误。 C# 带签名dll破解 Mar 9, 2016|C#|84Hits 转自http://blog.fwhyy.com/2016/03/csharp-with-signature-dll-crack/?utm_source=tuicool&utm_...
一次帮妹子去水印经历<反编译DLL
qq_41975772的博客
05-20 426
一次帮妹子去水印经历<反编译DLL> 缘由 今日,在网上闲逛时发现一位妹子在网上寻求OnBarcode.Barcode.WinForms.DLL文件,第一眼感觉,这不就是生成二维码的软件嘛,本着乐于助人的心态发送了文件给人家,结果说不适用,一问才知道,原来是之前用的版本带有OnBarcode红色水印,想找一个不带水印的,但是文件很久没迭代了,没找到合适的,这时我灵机一动,一直想尝试反编译,这下机会来了,在这个特殊的日期,单身的我如果能以此俘获妹子的芳心,明年就不用一个人了哈哈,美哉,话不多说,赶
windows平台下对dll进行数字签名
babytiger的专栏
03-28 2624
因此,尽管数字签名本身并不会直接影响 DLL 的运行速度,但它可以提高系统的安全性和可信度,从而提高系统的稳定性和可靠性。但是,数字签名可以提高 DLL安全性和可信度,因此可以降低 DLL 被拦截或者阻止的风险,从而避免了一些可能会导致系统崩溃或不稳定的安全风险,从而提高了系统的可靠性和稳定性。总之,数字签名可以提高DLL文件的可信度,防止不法分子对软件进行恶意篡改,从而保证软件的安全性和稳定性。确认文件的来源:数字签名可以验证DLL文件的发布者身份,确保该文件来自合法的发布者。
易语言-检测自身是否有DLL注入易语言模块
06-29
"检测自身是否有DLL注入易语言模块"是易语言编程中涉及到的一个安全问题DLL(动态链接库)注入是一种常见的系统级调试和攻击技术,黑客或恶意软件常通过将DLL注入到目标进程来实现远程控制、监控或者篡改程序...
易语言检测自身DLL注入模块
07-18
综上所述,易语言检测自身DLL注入模块的技术是通过获取并检查进程模块列表,以及对每个模块的句柄和特性进行验证,来确保程序的完整性与安全性。掌握这一技术,可以帮助开发者构建更安全的应用程序,抵御潜在的恶意...
神奇模块签名驱动和DLL
04-08
在IT领域,尤其是在系统安全和逆向工程方面,“神奇模块签名驱动和DLL”是一个高级的技术主题。这个标题暗示了我们讨论的核心是关于如何在Windows操作系统中绕过签名验证来驱动程序(Driver)和动态链接库...
易语言检测自身DLL注入模块源码-易语言
06-13
5. **签名验证**:对于已知的系统或自定义DLL,可以验证其数字签名,确保没有被篡改。 理解并掌握这些知识点,开发者不仅可以增强自身的程序安全性,还能深入了解系统级编程和安全防护策略。在易语言中实现这样的...
进程模块dll查看器dll查看器
08-07
进程模块DLL查看器是一款强大的系统工具,主要用于查看操作系统中各个进程的动态链接库(Dynamic Link Library, DLL)信息。DLL是Windows操作系统中一个重要的组件,它包含可由多个程序共享的代码和数据,以此来...
PCHunter初学习
qq_37954088的博客
06-28 1万+
一、PCHunter简介 PCHunter是一款功能强大的Windows系统信息查看软件,同时也是一款强大的手工杀毒软件,用它不但可以查看各类系统信息,也可以揪出电脑中的潜伏的病毒木马。 二、PCHunter功能 进程、线程、进程模块进程窗口、进程内存信息查看,杀进程、杀线程、卸模块等功能 内核驱动模块查看,支持内核驱动模块的内存拷贝 SSDT、Shadow SSDT、FSD、KBD、TCPIP、Nsiproxy、Tdx、Classpnp、Atapi、Acpi、SCSI、IDT、GDT信息查看,并能检
dependencywalker
qq_40572200的博客
07-09 80
一款可以检测出系统dll的软件 https://blog.csdn.net/qq_42533853/article/details/85257020?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522162580737716780265497728%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fall.%2522%257D&request_id=162580737716
windows10出现无法操作系统,原因是无法验证文件的数字签名
热门推荐
u010513327的博客
06-18 3万+
遇见问题如下图 出现这种情况一般是杀毒软件造成的 解决办法:删除windows/system32/drivers/ql446949.sys(不同情况,该文件不同,提示的什么就删除什么) F8 以后进入安全模式什么的也无法打开电脑 怎么删除呢 用优盘做个系统盘吧,进入PE环境 然后删除见上面那个文件就行啦 ...
计算机无法验证签名,计算机中win10/win7无法验证文件数字签名的解决方法
weixin_29845919的博客
07-05 4173
计算机中win10/win7无法验证文件数字签名的解决方法发布时间:2021-03-29 11:35:07来源:亿速云阅读:65作者:小新这篇文章主要介绍了计算机中win10/win7无法验证文件数字签名的解决方法,具有一定借鉴价值,感兴趣的朋友可以参考下,希望大家阅读完这篇文章之后大有收获,下面让小编带着大家一起了解一下。win10/win7无法验证文件数字签名(错误代码 0xcoooo428)...
解决第三方DLL没有强签名
Steven的专栏
03-08 1432
<br />解决第三方DLL没有强签名 <br />创建一个新的随机密钥对:sn -k myTest.snk<br />第一步: 将DLL文件解开 ildasm myTest.dll /out:myTest.il <br />第二步: 将签名合入DLL ilasm myTest.il /res:myTest.res /dll /key:myTest.snk /out:myTestSN.dll <br />第三步: 检查 sn -vf myTestSN.dll <br />例如:<br />C:/Progra
dll签名两种方法
sjtu_chenchen的专栏
07-08 1万+
下面两种签名方法,都是对csp.dll签名,都不是CA颁发的,且效果不同, 一:通过自建证书签名windows sdk,安装成功后,包含makecert.exe, cert2spc.exe, pvk2pfx.exe, signtool.exe工具,将要签名的csp.dll也放入工具目录,cmd命令切换到工具目录,再执行以下命令 1.生成签名证书: makecert -sv cs
64位dll复制数字签名
08-18
64位DLL复制数字签名是指将一个已经签名的64位DLL文件进行复制,并确保复制后的文件仍保持原有的数字签名不变。 数字签名是一种用于验证文件真实性和完整性的技术手段,它通过对文件进行密算法运算得到一个唯一的签名值,以确认文件未被篡改过。在64位DLL的复制过程中,我们需要保证复制后的文件不仅具有相同的内容,还要保持相同的数字签名。 复制64位DLL时,首先需要使用合法的方式获取原始安装的DLL文件。可以通过官方渠道或授权的源获取DLL文件,以确保文件的完整性和可信度。然后,将原文件复制到指定位置,并将其重命名为新的文件名。 接下来,在复制后的文件上应用原始DLL文件的数字签名。这需要用到签名工具,如Microsoft的signtool.exe。首先,检查当前系统是否安装了signtool.exe工具。如果没有安装,需要下并正确安装。 然后,使用signtool.exe工具对复制的DLL文件进行数字签名签名的具体步骤包括生成签名文件(如.pfx文件)、指定证书和私钥、选择签名算法等。在签名过程中,需确保所使用的证书是与原始DLL文件使用的证书相同的,以保证签名的连续性。 最后,对已复制的64位DLL文件进行验证,以确认数字签名是否成功应用。可以使用signtool.exe工具的验证命令,检查签名的有效性和完整性。 总结来说,复制64位DLL文件时要保持原始数字签名不变,需要使用合法的来源、正确的签名工具和相同的证书,进行数字签名的复制过程,并进行验证以确保签名的有效性。这样做可以确保复制后的64位DLL文件具有相同的数字签名,从而保证文件的真实性和完整性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

摔不死的笨鸟

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值