PE文件格式学习(七):安全表(Security)

最新推荐文章于 2024-05-19 09:53:03 发布
最新推荐文章于 2024-05-19 09:53:03 发布
阅读量960 收藏 2
点赞数
分类专栏: Windows逆向 文章标签: PE 安全表
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tutucoo/article/details/83828707
版权

1.介绍

如果一个应用程序有数字签名,那么它的安全表就不会为空。它位于异常表的后面。

2.安全表解析

通过数据目录表里提供的RVA,我们转换成offset,找到了安全表的位置,如下:

安全表的结构体如下:

typedef struct _WIN_CERTIFICATE
{
    DWORD dwLength;
    WORD wRevision;
    WORD wCertificateType;
    BYTE bCertificate[ANYSIZE];
}

dwLength:此结构体的长度,对应上图中的0x00003390

wRevision:在bCertificate里面保护的证书的版本号,版本号有两种,如下表,一般为0x0200,对应上图中的0x0200

信息Win32 SDK中的宏定义名
0x0100Win_Certificate的老版本WIN_CERT_REVISION_1_0
0x0200Win_Certificate的当前版本WIN_CERT_REVISION_2_0

wCertificateType:证书类型,有如下表格中的类型,对应上图中的0x0002

信息Win32 SDK中的宏定义名
0x0001X.509证书WIN_CERT_TYPE_X509
0x0002包含PKCS#7的SignedData的结构WIN_CERT_TYPE_PKCS_SIGNED_DATA
0x0003保留WIN_CERT_TYPE_RESERVED_1
0x0004终端服务器协议堆栈证书签名WIN_CERT_TYPE_TS_STACK_SIGNED

bCertificate:包含一个或多个证书,一般来说这个证书的内容一直到安全表的末尾。

tutucoo
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
【C/S架构安全测试】客户端安全测试小结
做自己喜欢的事,并将其发挥到极致!
10-08 1084
因项目需求,需要给C/S客户端应用系统做一次安全测试,特写此片文章来记录一下实战过程中所涉及的知识,欢迎各路大佬指点。
PESecurity:PowerShell模块,用于检查是否已使用ASLR,DEP,SafeSEH,StrongNaming和Authenticode编译Windows二进制(EXEDLL)
03-03
PE安全 用于检查Windows二进制文件(EXE / DLL)是否已通过ASLR,DEP,SafeSEH,StrongNaming,Authenticode,Control Flow Guard和HighEntropyVA编译的PowerShell脚本。 Import the module Import-Module .\Get-PESecurity.psm1 Check a single file C:\PS> Get-PESecurity -file C:\Windows\System32\kernel32.dll Check a directory for DLLs & EXEs C:\PS> Get-PESecurity -directory C:\Windows\System32\ Check a directory for DLLs & EXEs recrusively
https防止注入_渗透入侵之PE注入如何应对
weixin_39614228的博客
11-21 233
早上在先知社区看见一篇手动PE注入的文章。看起来挺感兴趣,研究了一下技术交流Q 343202158 个人博客:http://www.ahacker.org环境OS:windows 7 工具: LordPE OD HxD PESecurity-master https://github.com/NetSPI/PESecurity实验首先实验PEsecurity检查是否有ASLRASLR(Addre...
推荐开源项目:PESecurity - 确保Windows二进制文件的安全性检查工具
最新发布
gitblog_00083的博客
05-19 398
推荐开源项目:PESecurity - 确保Windows二进制文件的安全性检查工具 项目地址:https://gitcode.com/NetSPI/PESecurity 1、项目介绍 在软件安全领域,确保应用程序的编译设置正确至关重要。PESecurity是一个基于PowerShell的脚本工具,用于检查Windows环境下的可执行文件(EXE和DLL)是否启用了关键的安全功能,如地址空间布局随...
对Windows 平台下PE文件数字签名的一些研究
snowfoxmonitor的专栏
04-05 6906
Windows平台上PE文件的数字签名有两个作用:确保文件来自指定的发布者和文件被签名后没有被修改过。因此有些软件用数字签名来验证文件是否来自家厂商以及文件的完整性,安全软件也经常通过验证文件是否有数字签名来防误报。但是因为windows对于常用的数字签名验证API- WinVerifyTrust实现的问题,以及一些并不恰当的示例代码,很多地方在验证数字签名时存在卡慢或者安全性不高的问题。本文将介...
编写PE文件解析器(三)
当我在写代码的时候我在写什么
10-24 2961
下面有几个网上资料比较少,因为几乎用不到,我查文档写写吧,这篇写得比较久很抱歉。 7、IMAGE_DIRECTORY_ENTRY_EXCEPTION【异常处理】 CPU特定的并且基于的异常处理。用于除x86之外的其它CPU上。偏移到一个IMAGE_XXX_RUNTIME_FUNCTION_ENTRY数组,根据文件头的Machine来确定结构,64位用IMAGE_IA64_RUNT
PE文件添加数字签名
冷风
08-03 3613
呵呵 楚茗写过一个 给PE文件添加数字签名的小工具 很好用的 用途估计大家都知道的,KIS2009 在一定成度上检查PE文件的数字签名 跟小鱼聊天时他说这个实现非常简单,就是修改一个PE结构中的两个位置 一个是 数字签名的 物理便宜地址 一个是 签名文件的长度 具体讲就是 PE结构的 IMAGE_NT_HEADERS结构中有一个 IMAGE_OPTIONAL_H
深入学习PE文件工具
08-26
**PE文件格式详解** PE(Portable Executable)文件格式是Windows操作系统中用于执行程序和存储动态链接库(DLL)的主要格式。深入理解PE文件对于任何想要从事系统编程、逆向工程或者恶意软件分析的IT专业人士来说...
.NET 文件格式详解文档
07-24
4. **PE文件结构**:.NET 文件是基于Portable Executable(PE文件格式的,这是Windows操作系统中用于可执行文件、动态链接库(DLL)等的标准格式。PE文件包括头部信息、节区和数据目录等部分,其中的数据目录指向...
Security
03-13
以下是几个关键的安全知识点,这些内容可能与"Security"项目中的"Security-master"压缩包文件相关: 1. 密码学:Python支持多种密码学库,如cryptography、pycryptodome等,可以用于加密、解密、数字签名以及哈希...
61.PE文件逆向之数字签名详细解析及Signcode、PEView、010Editor、Asn1View等工具用法(二)1
08-03
【网络安全自学篇】六十一.PE文件逆向之数字签名详细解析及Signcode、PEView、010Editor、Asn1...本文旨在提供基础教程,引导读者了解PE文件逆向和数字签名的相关知识,后续文章将进一步深入网络安全和系统安全学习
cyber-security
03-21
6. **恶意软件分析**:Python可以构建静态和动态分析框架,例如YARA规则引擎用于匹配恶意软件特征,或使用PEfile库解析PE文件格式,分析恶意代码的行为。 7. **网络取证**:Python可以用于收集、分析和整理犯罪活动...
PE文件添加数字签名 .
http://www.softwareace.cn 王牌软件
10-24 609
修改一个PE结构中的两个位置   一个是 数字签名的 物理便宜地址 一个是 签名文件的长度   具体讲就是 PE结构的 IMAGE_NT_HEADERS结构中有一个 IMAGE_OPTIONAL_HEADER32   在IMAGE_OPTIONAL_HEADER32中有一个IMAGE_DATA_DIRECTORY项   而IMAGE_DATA_DIRECTORY项是一系列的数据 其
PE文件解析-异常处理与数字签名
zhyulo的博客
01-06 2631
一、异常处理 1.位置及概述     PE文件头可选映像头中数据目录的第4成员IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_DIRECTORY_ENTRY_EXCEPTION]指向异常处理,它保存在PE文件中,通常在".pdata"区段。     x86系统采用动态的方式构建SEH结构,相比而言x64系统下采用静态的方式处理SEH结构。 2.异常处...
PE结构详解
热门推荐
比尔丁子
03-01 3万+
1 基本概念 下描述了贯穿于本文中的一些概念: 名称 描述 地址 是“虚拟地址”而不是“物理地址”。为什么不是“物理地址”呢?因为数据在内存的位置经常在变,这样可以节省内存开支、避开错误的内存位置等的优势。同时用户并不需要知道具体的“真实地址”,因为系统自己会为程序准备好内存空间的(只要内存足够大) 镜像文件 包含以EXE文件为代的“可执行文件”、以D
[系统安全] PE文件格式详解1
H4ppyD0g的博客
12-15 2875
PE文件格式是微软Windows NT内核系列系统和 Win32子集中可执行的二进制文件格式。这种文件格式是微软基于COFF 文件格式的设计思想设计的。 COFF (Common Object File Format,通用目标文件格式)是应用于数种 UNIX系统中的目标文件和可执行文件的格式。 对应的,在linux下的可执行文件格式采用ELF(Executable and Linkable Format)。 MS-DOS头、DOS Sub MS-DOS头存在于每个PE文件中,它的存在完全是出于兼容性的考虑。
μthenticode:一款用于验证 Windows 文件签名的跨平台工具
systemino的博客
08-17 652
μthenticode:一款用于验证 Windows 文件签名的跨平台工具,用于在没有Windows设备的情况下在Windows PE二进制文件上验证Authenticode签名。开发人员还将其集成到Winchecksec的最新版本中,以便你日后可以使用它来验证Windows可执行文件上的签名。 μthenticode旨在轻松集成,它是用跨平台的现代C ++编写的,避免了它所取代的CryptoAPI接口的复杂性(即WinVerifyTrust和CertVerifyCertificateChainPol
SpringSecurity设计流程
TeeGm的博客
12-04 481
认证:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户; 授权:认证成功后确定当前用户有没有权限进行某个操作依赖 2. 认证 校验基本流程图 其实security的核心就是一个个过滤器,对于登录/资源访问的时携带内容的校验; 上个最简单的原理图(简单案例中几个比较重要的过滤器) UsernamePasswordAuthenticationFilter:当客户端填写了用户名、密码的时候,由他进行校验; **ExceptionTranslationFilter:**处理过滤器链中抛出的任何Acc
syntax error : identifier 'LPWIN_CERTIFICATE'
SP_daiyq的专栏
03-17 1819
<br />    这几天拿到一个应用程序,编译的时候出现如下错误:<br />c:/progra~1/miaf9d~1/vc98/include/imagehlp.h(959) : error C2061: syntax error : identifier 'LPWIN_CERTIFICATE'<br />c:/progra~1/miaf9d~1/vc98/include/imagehlp.h(985) : error C2061: syntax error : identifier 'LPWIN_CE
HCIE-Security-备考指南-ARP安全配置(S5700交换机).pdf
02-11
12. DHCP触发ARP学习:通过DHCP服务器动态更新ARP,增强安全性。 13. 端口隔离后ARP报文转发功能:控制隔离端口间的ARP通信,减少潜在威胁。 14. 配置ARP安全功能示例:提供实际配置步骤,帮助理解和实施。 为了...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值