标签: authenticode

我需要SignerInfo从AuthenticodeASN1 结构中的数字签名 PE 文件中提取。

INFO：PE 文件包含由Security Directory RVAinside指定的偏移量处的验证码Optional Header Data Directories。我曾尝试在阅读Microsoft Authenticode PE 签名格式提供的文档后开始，但没有运气，因为我对 SSL/TSL 非常陌生。

我的问题：

1. 有没有办法解析二进制文件并以 C 字符串格式打印数据结构？

2. 有什么方法可以解析给定的二进制文件并指向SignerInfoor SignerName？

NOTE：我不想使用任何平台相关的 API，因为我希望代码与平台无关。

提前感谢所有大师:-)

UPDATE:我在 C# 中找到了一个代码。有人能帮我找到相同的 C 语言吗？

using System;
using System.IO;
using System.Text;
using System.Security.Cryptography.X509Certificates;

public class CertInfo
{
 public static void Main(String[] args)
 {
    byte[] certBytes;
    X509Certificate x509cert;

    while (true)
    {
        Console.WriteLine("\nEnter File Name: ");
        String filename = Console.ReadLine();
        if …

我有一个 .NET 程序集，我对其进行了强命名，并将其放入 GAC 中。.pfx但是，稍后还会使用文件对同一程序集进行数字签名，以进行数字签名。
我注意到这个经过双重签名的程序集未通过强名称验证，并且不会安装在目标计算机的 GAC 中。

数字签名过程是否有可能删除 SN 密钥生成的强命名过程？

数字签名是必不可少的，如果两者不兼容，那么文件可以由数字签名吗？.pfx像 SN 命名过程一样简单地由文件对文件进行签名？

另外，程序集位于C++/CLI，而不是C#。

编辑：查看MSDN 文档，它说是否使用链接器选项进行强命名，以及是否使用像这样的后处理工具mt.exe（我不确定是否Signtool.exe属于这些工具），则需要重新签署程序集。

另外，这个声明：

如果在开发环境中生成时使用签名属性，则可以通过在生成后事件中显式调用 sn.exe（Sn.exe（强名称工具））来成功对程序集进行签名。

...有点令人困惑。它指的是哪些属性，CLR属性还是Linker选项？

我们将可执行文件交付给客户端服务，该服务在从我们的服务器下载该可执行文件后在新进程中启动该可执行文件。

可执行文件已使用我们公司的 CodeSigning-Certificate 进行签名（验证码），现在我想验证下载的可执行文件是否使用此 CodeSigning-Certificate 进行了有效签名，以防止恶意的中间人攻击。

但目前我找不到任何关于如何在不使用“signtool.exe”（客户端不可用）的情况下验证这一点的提示。

客户端上的下载服务是一个用 C# 编写的 .NET 4.0 应用程序。所以我正在寻找一种方法来验证下载文件的验证码，并且只有在验证成功时才继续。

在 Windows 10 的“快速环”上，我在自己的安装可执行文件上出现了奇怪的行为：

多年来，我一直使用Authenticode对它们进行 SHA-1 签名，而且从未遇到任何问题。

最近 Windows 10 无法识别我的（有效）签名。

当从我的网站下载 setup.exe 并执行它时，Windows SmartScreen 消息框出现并告诉我：

...
发布者：未知
...

查看刚刚下载的安装可执行文件的属性时，它会显示签名，并告诉我签名有效。

此外，整个证书链都是有效的。

我用这样的东西签名：

SignTool.exe sign /v /t http://timestamp.verisign.com/scripts/timstamp.dll 
    /f "my-authenticode.pfx" /p "my-password" "my-setup.exe"

（为了可读性添加了换行符）

我的问题：

有没有人知道可能的原因（和修复）？

更多信息：

我能想到可能的原因：

• 使用 Windows 10 Fast Ring 签名是有问题的。（我已经使用相同的行为在 Windows Server 2008 R2 上签名）。
• 在 Windows 10 Fast Ring 中运行下载的安装可执行文件是有问题的。

更新 1：

我发现了 2013 年的 MSDN 博客文章，它似乎谈论了我发现的类似内容，但我仍然看不出这是否真的适用。

更奇怪的是：从我们网站上下载的旧版本，使用相同的 Authenticode 证书签名不会触发警告。

也许 SmartScreen 会比较时间戳并对较新的签名/安装可执行文件有不同的行为？

也许我需要在调用 SignTool.exe 时添加其他/不同的参数？ …

我多年来一直使用 SHA1 签名，但从 2016 年开始，Windows 强制开发人员使用 SHA256。

Windows 对 Authenticode 代码签名和时间戳的强制执行

通过使用 Windows 7 SDK signtool，对 SHA-256 进行签名的函数是“未知命令”，因此此 signtool 作为 signtool 已过时，不应再使用。

为了使用 SHA256 进行签名，我下载了 Windows 8.1 SDK 以获取具有新功能（/fd 和其他一些功能）的 signtool.exe。BAT 文件和 signtool 适用于 Windows 8 和 10，所以我知道它可以工作，但在 Windows 7 上尝试为文件添加时间戳时会崩溃。

我使用 bat 文件对文件进行签名，如下所示（我编辑了 BAT 文件，因此它不显示变量、完整路径、公司名称和密码）：

Path\signtool.exe sign /f "Path\Certificate.p12" /fd sha256 /p *password* /du "URL" /tr "timestampServer?td=sha256" /td sha256 /d "Product name" "Filename"

我想，我没有合适的 SDK 来支持某些功能，但我在互联网上找不到任何关于如何在 Windows 7 上设置它的信息。我尝试安装 MS Visual C++ 2015 Redistributable (x64 ) 在我的机器上没有解决问题。

我有一个具有以下结构的 .Net 解决方案：

• 执行程序
• dll
• 第三方.dll

我希望仅对我自己的二进制文件（a.exe 和 b.dll）进行 Authenticode 签名。

我目前在 a.exe 的 csproj 文件上有一个生成后事件：

"C:\Program Files (x86)\Windows Kits\10\bin\x86\signtool.exe" sign /t http://timestamp.globalsign.com/scripts/timestamp.dll /a $(TargetPath)
for %%f in ("$(ProjectDir)$(OutDir)*.dll") do "C:\Program Files (x86)\Windows Kits\10\bin\x86\signtool.exe" sign /t http://timestamp.globalsign.com/scripts/timestamp.dll /a $(TargetPath) %%f

但是，这将对包括thirdParty.dll 在内的所有dll 进行签名，并且还存在尝试对任何非托管DLL 进行签名的风险。

现在，最简单的解决方案是在 b.dll 的 csproj 文件上放置一个构建后事件，并删除上面所示的 for 循环。然而，实际上我们有许多组件，并且可能会添加更多组件。我不想依赖其他开发人员记得添加构建后步骤来对任何新程序集进行 Authenticode 签名。

我可以使用此处描述的 PowerShell 脚本仅对托管程序集进行签名，但这仍会在上面的示例中对thirdParty.dll 进行签名。

如何仅枚举并签署包含我自己的代码的程序集？

我想对单文件发布的 .net core 应用程序中的二进制文件进行签名。这是因为我希望这些库在解压到 时进行数字签名。这是我的项目文件的缩短版本。%temp%\.net\%app_name%\%random_dir%

<Project Sdk="Microsoft.NET.Sdk">

  <PropertyGroup>
    <OutputType>Exe</OutputType>
    <TargetFramework>net5.0</TargetFramework>
    <PublishSingleFile>true</PublishSingleFile>
    <SelfContained>true</SelfContained>
    <RuntimeIdentifier>win-x86</RuntimeIdentifier>
    <PublishTrimmed>false</PublishTrimmed>
    <PublishReadyToRun>false</PublishReadyToRun>
    <Configuration>Release</Configuration>
    <IncludeAllContentForSelfExtract>true</IncludeAllContentForSelfExtract>    
  </PropertyGroup>

  <Target Name="SignPrePublishedFiles" AfterTargets="ComputeAndCopyFilesToPublishDirectory">
    <ItemGroup>            
      <FileToSign Include="$(OutDir)Foo.*.dll" />      
    </ItemGroup>    
    <Exec Command="jsign ~~~params removed for brevity~~~ %(FileToSign.Identity)" />
  </Target>
  
</Project>

目标在目录SignPrePublishedFiles中签署所需的文件$(OutDir)，但发布的应用程序包含未签名的二进制文件。我认为这是因为以下时间不正确：AfterTargets="ComputeAndCopyFilesToPublishDirectory"或文件夹不正确，我假设$(OutDir)用于发布。在这里，我使用jsign因为构建在 Linux 上运行，但签名是针对 Windows 二进制文件完成的。

如何签署已发布的文件，特别是单文件应用程序内的文件？