白话数字签名(番外篇)——签名EXE文件(上)

最新推荐文章于 2022-07-23 15:09:23 发布
最新推荐文章于 2022-07-23 15:09:23 发布
阅读量53 收藏
点赞数
文章标签: c/c++
原文链接:http://www.cnblogs.com/1-2-3/archive/2007/11/27/colloquialism-digital-cer
版权
摘要

人家微软的软件都有数字签名,感觉好酷哦,我们写的软件也要弄个签名炫一炫。

带有签名的软件非常酷

在QQ的安装文件上右击,选“属性”,就可以看到QQ的数字签名了。

使用 Process ExplorerSREng查看系统中正在运行的程序时,也可以验证程序是否有数字签名,如果我们的程序显示“Unable to verify”,那显得多不专业呀。


给自己的程序加上签名

上图中的那个MathLover121.exe是我在上学的时候用C++ Builder写的一个小软件,不用说,它肯定是没有签名的了。下面就来演示一下如何使用微软的签名工具SignTool签名这个EXE文件。要进行签名,首先要有数字证书才行。如果你的公司已经申请了数字证书,那就再好不过了;但是鉴于很多朋友手中没有数字证书,这里就先介绍一下如何在CA365上申请一个免费的数字证书。

申请免费的数字证书

Step1: 登录 www.ca365.com,在“免费证书”栏中点击“用表格申请证书”链接。


Step2: 填表,基本上可以瞎填的,没人管。


Step3: 在上一步按“提交”按钮后稍等一会儿,会自动进入下载证书的页面,点击“下载并安装证书”链接下载并保存证书,默认的文件名是“NewCert.der”。


Step4: 安装证书。
在“NewCert.der”文件上右击,选择“安装证书”即可。


接下来就可以开始签名EXE文件了。

使用SignTool签名EXE文件

Step1: 通过“开始菜单|程序|Microsoft Visual Studio 2005|Visual Studio Tools|Visual Studio 2005 命令提示”打开命令行窗体。
Step2: 执行“signtool signwizard”。
Step3: 在“数字签名向导”中点击下一步,来到“文件选择”页,选择需要签名的文件。注意如果文件放在了桌面下会提示“指定的文件不存在或为只读文件”的错误信息,可能是文件夹权限的问题。
Step4: 点击“下一步”,来到“签名选项”页,选择“典型”即可。
Step5: 点击“下一步”,来到“签名证书”页,点击“从存储区选择...”按钮,然后选择我们刚刚申请并安装的那个证书。
Step6: (可选)点击下一步,在“数据描述”页可以填写一些描述信息。
Step7: (可选)点击下一步,在“给数据盖时间戳”页,填写时间戳服务的URL。这里有两个免费的时间戳服务器URL:http://timestamp.verisign.com/scripts/timstamp.dll
http://timestamp.wosign.com/timestamp
Step8: 点击“下一步”,在“正在完成数字签名向导”页最后浏览一下所有的设置,确认无误后点击“完成”按钮开始签名。
Step9: 在弹出的“正在用您的专用交换密钥签名数据”对话框上按“确定”按钮。
Step10: 看到“数字签名向导已成功完成”信息,说明签名成功了。

现在,在Windows的资源管理器中右击MathLover121.exe选“属性”,就可以看到多了一个“数字签名”页。点击“详细信息”按钮可以查看证书的详细信息。


在Process Explorer里也可以验证签名了。


不过如果把这个已签了名的MathLover121.exe复制到我的同事的计算机上用Process Explorer验证签名,会仍然显示“Unable to verify”  _| ̄|○ (好像有砖头飞来的声音,我闪先~~),这是因为 ca365的根证书默认并没有安装在Windows系统的“受信任根证书颁发机构”列表中。在我的机器上能验证成功是因为我事先已经导入了CA365的根证书。关于数字证书和根证书的关系可以看我的 白话数字签名(2)
可以在“开始菜单 | 运行...”里执行“certmgr.msc”查看“受信任根证书颁发机构”列表。


所以如果你希望Windows信任你就乖乖的向这个列表中的公司交钱吧,例如QQ的安装文件就是使用的 VeriSign 的代码签名证书。

还有一个奇怪的问题...

但是如果我们在“C:\Program Files\Internet Explorer\IEXPLORE.EXE”上面右击,再点击“属性”,可以看到并没有显示数字签名页,但是在Process Explorer中却可以成功验证签名,这是怎么回事呢?呵呵,先卖个关子,下篇再讲 :)


转载于:https://www.cnblogs.com/1-2-3/archive/2007/11/27/colloquialism-digital-certificate-part4.html

weixin_33939843
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
白话数字签名------整理版
05-11
白话数字签名的整理版,是学习数字签名技术的最容易入门教程,整理为PDF,方便学习
Windows SDK SignTool.exe 微软文件签名工具的使用
NULL BLOG
12-12 1万+
签名工具 SignTool.exe .NET Framework 4.5 其他版本   .NET Framework 4.NET Framework 3.5.NET Framework 2.0 0(共 1)对本文的评价是有帮助-评价此主题 签名工具是一个命令行工具,用于对文件进行数字签名,验证文件和时间戳文件中的签名
【Windows】数字签名
少莫千华
12-02 5238
1  系统正常情况下的操作步骤 下面所有需要输入密码的,请输入同一个密码,所以你要记住自己创建的密码。 1.1    SignTool.rar 下载工具包或者 方法一、如果您安装Microsoft Visual Studio 2005,那么请在安装目录的(..\Common7\Tools\Bin\)下找到相关的工具(makecert.exe、cert2spc.exe、signcode.exe
创建自签名证书, 对exe文件进行数字签名
Think88666的博客
07-23 5664
创建自签名证书,对exe文件进行数字签名
申请免费代码签名证书
hemengsi123的专栏
01-09 1万+
申请免费代码签名证书 发表于2013-01-18 最近在研究代码签名技术, 花了不少时间, 下面记录一下从了解代码签名到获得一个有效的代码签名证书的过程. 首先说一下什么是”代码签名”: 代码签名即软件的所有者使用受全球认可的第三方发放的能证明其真实身份的 “代码签名数字证书” 为其开发的软件添加一个标记, 即所谓的 “签名”, 因而增强了可信度. 耳听为虚, 眼见为实, 有图有
白话数字签名.pdf
11-03
简单易懂的描述了数字加密 及数字加密的常用模式
数字签名详解(讲的非常通俗)
08-25
非常白话数字签名说明文档,看完后保证你完全明白数字签名里面包含的一切。
Java GUI 实现的策略游戏——蜜蜂王国!(附exe文件).zip
07-19
java课程设计大作业,java、算法练手项目,适合初学java、数据结构的同学拿来学习研究,基于java、GUI开发的小游戏,程序都经过测试,可以直接运行,资源含程序运行所需的源码、资源文件等全部数据,有需要的可放心...
数字签名文件数字签名文件
06-10
可以免杀的,过免杀的 过免杀的过免杀的过免杀的
SignServer-开源
05-13
SignServer是用于其他系统调用的服务器端签名的应用程序。 它非常灵活,可以根据特定需求进行定制。 SignServer具有随时可用的TimeStamp服务器和用于PDF,XML,ODF,PGP,OOXML和MRTD(ePassport DS)的签名者。
SignTool(签名工具包)
12-14
签名工具 (SignTool.exe) 签名工具是一个命令行工具,用于对文件进行数字签名,验证文件或时间戳文件中的签名。 注意 Microsoft Windows NT、Windows Me、Windows 98 或 Windows 95 中不支持签名工具。 signtool [command] [options] [file_name | ...] 参数 参数 说明 command 命令标志之一,用于指定要对文件执行的操作。 options 用于修改命令标志的选项标志之一。 file_name 要进行签名文件的路径。 签名工具支持下列命令。 命令 说明 catdb 在目录数据库中添加或移除目录文件。 sign 对文件进行数字签名。 signwizard 启动签名向导。只能为文件名命令行参数指定一个文件。 timestamp 时间戳文件。 verify 验证文件数字签名。 下列选项应用于 catdb命令。 Catdb 选项 说明 /d 指定更新默认目录数据库。如果 /d和 /g 选项都未使用,则签名工具更新系统组件和驱动程序数据库。 /g GUID 指定更新由全局唯一标识符 (GUID) 标识的目录数据库。 /r 从目录数据库中移除指定的目录。如果未指定该选项,签名工具将向目录数据库添加指定的目录。 /u 指定为添加的目录文件自动生成唯一的名称。如有必要,将重命名目录文件,以避免与现有的目录文件发生冲突。如果未指定该选项,签名工具将重写与所添加的目录同名的任何现有目录。 注意 目录数据库用于自动查找目录文件。 下列选项适用于sign命令。 Sign 选项 说明 /a 自动选择最佳的签名证书。如果未指定该选项,签名工具仅查找一个有效的签名证书。 /c CertTemplateName 指定用于对证书进行签名的证书模板名(一个 Microsoft 扩展)。 /csp CSPName 指定包含私钥容器的加密服务提供程序 (CSP)。 /d Desc 指定已签名内容的说明。 /du URL 指定已签名内容的更详细说明的统一资源定位器 (URL)。 /f SignCertFile 指定文件中的签名证书。如果文件是个人信息交换 (PFX) 格式且受密码保护,则使用 /p 选项来指定密码。如果文件不包含私钥,则使用 /csp 和 /k 选项来分别指定 CSP 和私钥容器名。 /i IssuerName 指定签名证书的颁发者的名称。该值可以是整个颁发者名称的子字符串。 /k PrivKeyContainerName 指定私钥容器名。 /n SubjectName 指定签名证书的主体的名称。该值可以是整个主体名称的子字符串。 /p 密码 指定打开 PFX 文件时使用的密码。可以通过使用 /f 选项来指定 PFX 文件。 /r RootSubjectName 指定签名证书必须链接到的根证书的主体名称。该值可以是根证书的整个主题名称的子字符串。 /s StoreName 指定要在搜索证书时打开的存储区。如果未指定该选项,则打开“我的存储区”。 /sha1 哈希 指定签名证书的 SHA1 哈希。 /sm 指定使用一个计算机存储区,而不是使用用户存储区。 /t URL 指定时间戳服务器的 URL。如果该选项不存在,将不会对签名文件执行时间戳操作。如果时间戳操作失败,将生成一个警告。 /u 用法 指定签名证书中必须存在的增强型密钥用法 (EKU)。可以通过 OID 或字符串指定该用法的值。默认用法为“代码签名”(1.3.6.1.5.5.7.3.3)。 下列选项适用于 timestamp 命令。 Timestamp 选项 说明 /t URL 必选。指定时间戳服务器的 URL。要执行时间戳操作的文件必须在以前已经进行了签名。 下列选项适用于 verify 命令。 Sign 选项 说明 /a 指定可以使用所有方法来验证文件。首先,搜索目录数据库以确定是否在目录中对文件进行了签名。如果未在任何目录中对文件进行签名签名工具将尝试验证文件的嵌入签名。验证可以或不能在目录中进行签名文件时,建议使用该选项。可以或不能签名文件示例包括 Windows 文件或驱动程序。 /ad 使用默认的目录数据库查找目录。 /as 使用系统组件(驱动程序)目录数据库查找目录。 /ag CatDBGUID 在由 GUID 标识的目录数据库中查找目录。 /c CatFile 通过名称指定目录文件。 /o Version 通过操作系统版本验证文件。version 参数的格式为 PlatformID:VerMajor.VerMinor.BuildNumber /pa 指定使用默认的身份验证策略。如果未指定 /pa 选项,签名工具将使用 Windows 驱动程序验证策略。此选项不能与 catdb 选项一起使用。 /pg PolicyGUID 通过 GUID 指定验证策略。GUID 对应于验证策略的 ActionID。此选项不能与 catdb 选项一起使用。 /r RootSubjectName 指定签名证书必须链接到的根证书的主体名称。该值可以是根证书的整个主题名称的子字符串。 /tw 指定如果签名没有时间戳,则生成一个警告。 下列选项适用于所有签名工具命令。 全局选项 说明 /q 执行成功时不生成输出,执行失败时生成最少的输出。 /v 执行成功、执行失败或产生警告消息时生成详细输出。 备注 签名工具要求本地计算机上安装了 CAPICOM 2.0 可再发行程序。可以从 http://www.microsoft.com/msdownload/platformsdk/sdkupdate/psdkredist.htm 获得 CAPICOM 2.0 可再发行程序。 签名工具的 verify 命令确定签名证书是否由受信任的颁发机构颁发、是否已撤消了签名证书,以及签名证书对于特定策略是否有效(此项可选)。 执行成功时,签名工具返回退出代码 0;执行失败时,签名工具返回退出代码 1;执行完毕并给出警告时,签名证书返回退出代码 2。
SignInServer
05-15
SignInServer
signtool对EXE进行签名
热门推荐
itjobtxq的专栏
08-15 3万+
数字证书,真是个神奇的东西,可以保证软件不被修改,可以表明文件的发布日期,最重要的,可以很大程度的减少杀毒软件的误报,当然,这就要使用可信任的机构颁发的证书了。 现在要说的不是申请证书,而是如何制作自己的证书。 1.安装windows sdk 生成证书和签名工具都包含在里面,Visual Studio应该都有自带了,以下内容中使用的工具都可以在C:\Program Files\Microso
数字签名的软件就一定值得用户信任吗?
ONE PIECE
09-04 1979
如果您问答“是的”,那就错了! 请大家参考 微软网站 的有关代码验证机制文章,简单地讲:就是给软件代码加上数字签名,仅用来保证: (1) 真实性 ( authenticity ) :让用户确信此软件的来源 ( 软件开发商的真实性 ); (2) 完整性 ( integrity ) :确保软件发布后没有被篡改。 看看以下截图就能理解以上两点,当您从 MSN中国 网站上下载和安装 MSN
windows系统内核调试 环境搭建(保姆级)
guapi_poe的博客
03-21 1686
1 环境搭建 vs2019+wdk10 vs2019下载官网社区版即可 免费的无需破解 wdk10 注意两者要下载对应的版本 ,我这里下载的都是最新的版本 两者可以无缝衔接 VS2019 安装插件选择C++即可 一路下一步即可 安装完成后再安装 WDK 安装路径好像不能改 我的直接安装到了 D:\Windows Kits 安装完成后 会有驱动安装的提示 ,一路next安装即可一定要安装 !!! 我之前一直都没安装上 所以VS2019没有 对于的驱动开发模块 登录V...
使用Microsoft Authenticode进行代码签名的流程
SSL加密技术
03-31 379
如果您在Windows SDK版本低于7.0的Windows Vista机器上利用代码签名证书进行签名代码,则可以使用数字签名向导GUI。向导GUI已在Windows SDK 7.0 中删除,并要求您在命令行上使用 signtool.exe。如果您有版本6或更低版本的Windows SDK,您可以按照以下说明进行操作。 1、要打开Microsoft数字签名向导(Microsoft SignTool.exe 的GUI界面),请继续运行SDK命令提示符。您必须先安装 .NET Framework SDK,然后
使用signTool为文件进行签名
S无影者的博客
01-18 1604
签名步骤(均需要在cmd下执行) 1. 创建证书 makecert -sv my.pvk -r -n “CN=我的公司” my.cer 在弹出的界面设置密码,我设置为123456 2. 创建发行者证书 cert2spc my.cer my.spc 3. 导出pfx证书文件 pvk2pfx -pvk my.pvk -pi 123456 -spc my.spc -pfx my.pfx -f 123456为第一步设置的密码 4. 签名exe文件 signtool sign /f my.pfx /p
springmvc白话
最新发布
03-22
Spring MVC是一种基于Java的Web应用开发框架,它是Spring框架的一部分。它提供了一种模型-视图-控制器(MVC)的架构模式,用于开发灵活、可扩展和高效的Web应用程序。 在Spring MVC中,模型(Model)表示应用程序的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值