最近在做一个检验全进程dll签名情况的程序。发现了现有安全工具一些比较沙雕的行为。
PChunter
首先点名PChunter,查找没有数字签名模块,但是C:\Tools\Sanbox\SbieDll.dll我看了下明明具有数字签名,而且签名还正常,它是沙箱的一个正常dll。证据确凿,有什么好狡辩的。
Procexp
用微软自己出的procexp检查进程的模块签名情况时,发现一些db都往模块里搞。看了下文件的确只是个DB,根本不是PE格式。当然还有一些PNG格式也在模块列表中,服。
伟大发明
看我的工具。
未签名的dll模块一般在system32目录、WinSxS目录还有assembly。去掉这些误报,基本都是比较好的检测效果。