293K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6V1M7$3I4W2k6e0t1H3x3U0u0Q4x3V1k6e0K9h3N6F1j5i4c8#2M7X3g2w2K9h3b7`.
---
来源: 看雪论坛
原文链接: https://bbs.kanxue.com/thread-287358.htm
[讨论]隐藏驱动代码签名证书信息
151 浏览
22 回复
小周学习站
S极客
9deK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6V1M7$3I4W2k6e0t1H3x3U0u0Q4x3V1k6e0K9h3N6F1j5i4c8#2M7X3g2w2K9h3b7`.
最后于 2025-6-27 10:49
被mb_urzqsoer编辑
,原因:
S极客
9deK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6V1M7$3I4W2k6e0t1H3x3U0u0Q4x3V1k6e0K9h3N6F1j5i4c8#2M7X3g2w2K9h3b7`.
最后于 2025-6-27 10:49
被mb_urzqsoer编辑
,原因:
这样的小把戏骗骗自己, 不会真以为能过ACE预启动吧
hzqst
感觉是ci的验签流程有问题,这pe的checksum都对不上```Current PE checksum : 00010A6ECalculated PE che ...
自己找个签名工具, 签名的时候把时间戳放到证书链第一个, 然后二进制编辑下瞎改PE签名区的时间戳部分, ring3解析的时候异常报错, 右键属性显示为空, ring0层忽略时间戳, 不影响加载
感觉是ci的验签流程有问题,这pe的checksum都对不上```Current PE checksum : 00010A6ECalculated PE che ...
自己找个签名工具, 签名的时候把时间戳放到证书链第一个, 然后二进制编辑下瞎改PE签名区的时间戳部分, ring3解析的时候异常报错, 右键属性显示为空, ring0层忽略时间戳, 不影响加载
感觉是ci的验签流程有问题,这pe的checksum都对不上
```Current PE checksum : 00010A6ECalculated PE checksum: 00008FB0Warning: invalid PE checksum.Unable to extract existing signature.```
```Current PE checksum : 00010A6ECalculated PE checksum: 00008FB0Warning: invalid PE checksum.Unable to extract existing signature.```
The MSDN documentation states that the 0x80093102 code means:
CRYPT_E_ASN1_EOD - ASN1 unexpected end of data.
signtool.exe报这个WinVerifyTrust()错误。但签名是能验证通过的。
感觉是windows的“高层”api WinVerifyTrust()之类的处理不了这种“畸形”数据,但是os的driver loader、windows的“低层”crypto API、其他API(如openssl)是能处理的。
CRYPT_E_ASN1_EOD - ASN1 unexpected end of data.
signtool.exe报这个WinVerifyTrust()错误。但签名是能验证通过的。
感觉是windows的“高层”api WinVerifyTrust()之类的处理不了这种“畸形”数据,但是os的driver loader、windows的“低层”crypto API、其他API(如openssl)是能处理的。
我还见到了更神奇的样本,不是腾讯的驱动但是有腾讯签名,显示是数字签名正常,但是吊销验证是脱机,无法验证
瞎几把改改时间戳就行了,还有人拿这个卖钱啊,真搞笑