AppLocker 显示/导出的 SHA256 哈希值与其他工具生成的哈希值不同。
谁能解释为什么?
示例:Putty.exe 0.62。
随机在线工具:d4ffa4559a1e22167933772d82cf714cd4bb7a0e79511c2424e18bdb619d63a4
Windows 7 上的 AppLocker:E0517EA6C2896CAA97D6CBF4E8CAEA00409F03703E888E83CFBC460F7682F337
我在此处使用 PowerShell cmdlet Get-AppLockerFileInformation 检索 AppLocker 哈希。
您看到的 E051... 哈希值不是 SHA256 哈希值。这是一个Authenticode哈希值。
\n\n\n\n\nAppLocker 自行计算哈希值。在内部,它对可移植可执行文件(Exe 和 Dll)和 Windows 安装程序使用 SHA2 Authenticode 哈希,对其余部分使用 SHA2 平面文件哈希。
\n
好像Putty.exe没有数字签名。尽管如此,AppLocker \xe2\x80\x93 已确定该文件是可执行文件,正在计算 Authenticode 哈希值。
有关如何计算哈希值的详细信息,请参阅此 Microsoft 文档中的计算 PE 映像哈希值。
\n\n现在至于为什么AppLocker(或者更可能是 cmdlet 本身)声称这是 SHA256 哈希,这还是一个谜。这很可能是一个外观错误。
\n| 归档时间: |
|
| 查看次数: |
4023 次 |
| 最近记录: |