星星究竟对数字签名病毒无视到什么程度

expensive6688

昨天某人发了这样的帖子：现在瑞星拦截带签名的病毒吗 大家都说要去掉“不检测程序”中的“带数字签名的程序”的勾

这数字签名是什么，做了什么，为什么引起群众的唾弃

数字签名（又称公钥数字签名、电子签章）是一种类似写在纸上的普通的物理签名，但是使用了公钥加密领域的技术实现，用于鉴别数字信息的方法。一套数字签名通常定义两种互补的运算，一个用于签名，另一个用于验证。

数字签名了的文件的完整性是很容易验证的（不需要骑缝章，骑缝签名，也不需要笔迹专家），而且数字签名具有不可抵赖性（不需要笔迹专家来验证）。

在中国大陆，数字签名是具法律效力的，正在被普遍使用。2000年，中华人民共和国的新《合同法》首次确认了电子合同、电子签名的法律效力。2005年4月1日起，中华人民共和国首部《电子签名法》正式实施。

看完数字签名的个人介绍，貌似他不是坏人嘛，还是帮助我们保密数据和验证数据的好人。因此正规的软件安装包都有数字签名。下面看看他的PP（用了微软的Windows Live 2011安装包）

但是，就因为如此，很多坏淫利用了数字签名，从伪造数字签名，自创建数字签名到偷正规公司的合法数字签名，利用数字签名骗过安全软件。真是一大悲剧。

更杯具的是某人抢了我的SF，对星星的测试到3L看 有意见的欢迎提出

Ventureminking

沙发抢到了
LZ图文并茂好啊好

expensive6688

刚才偶说过

很多坏淫利用了数字签名，从伪造数字签名，自创建数字签名到偷正规公司的合法数字签名，利用数字签名骗过安全软件。

既然发到星星区，当然是测试星星对数字签名病毒无视到什么程度啦。
严重警告，以下帖子包含超过20张PP。如果乃不是电信用户（或者上卡饭很卡的），请注意保护好你的猫
声明：星星对于数字签名的设置只在木马防御和系统加固。文件监控和查杀方面星星对所有程序（有无数字签名）都一视同仁。 所以此次测试只针对木马防御和系统加固。

首先是系统属性，星星版本和设置（全部防御开启且等级最高，放行数字签名）







开始测试。
（1）首先是没有数字签名的样本：





星星通过！

（2）通过特定工具伪造微软数字签名的样本





星星继续通过

（3）通过微软工具创建的测试数字证书（根证书不受信任），然后通过微软工具签署数字签名的程序





OMG，防火墙居然放行？？？木马防御自动处理？？？实机的ESET已经报警了


（4）通过微软工具创建的测试数字证书（根证书受信任），然后通过微软工具签署数字签名的程序





结果和（3）一样，ESET又报警了


（5）不过要是把有数字签名的病毒【文件来自（4）】改一下MD5









星星复活了

最后，用官人一句话来总结


什么看不明白？那我们来做个比喻。
把星星比作在小区里的保安，样本比作要进入小区供电设备的A，数字签名比作维修员的证件。相片就是文件哈希。
（1）A打开了门刚要进去，保安出现并说：“乃的证件呢？”，A：“今天忘带了，大哥通融通融”，保安二话不说把A抓住了

（2）A出示了证件，但是那个证件的相片根本不是A。A又一次被抓住了
（3）A出示了证件，上面贴了A的相片。保安放行。全然不知上面的证件颁发部门根本是没执照的。
（4）A出示了证件，上面贴了A的相片，证件颁发部门也是合法的。保安笑眯眯的放行。谁不知证书颁发部门就是A开的
（5）A出示了证件，上面贴了A的相片，证件颁发部门也是合法的。可惜A整容了……保安又把A抓住了

不知这样比喻恰不恰当
样本来自卡饭评测区的Kafan VirList [2011.7.11]里面的某个小样本，在这里不提供签名工具（伪造的和真正的）：不说。为什么？利用Bug的成本太低了，简直为零。从创建证书到签署文件一分钟都不用
在此感谢提出测试的涩涩的猪

偶都忘了还要总结和提建议：
（1）星星对伪造的数字签名和正规数字签名程序的篡改（就是情况2）有防御 ，但是对证书的合法性没有防御（情况3和4）
（2）要知道世界上正规的证书颁发机构屈指可数，建议增加对签名证书的根证书的白名单验证（独立于系统的证书体系，利用云和本地数据库）
（3）有时正规的证书也会被别人盗用，建议增加对签名证书的黑名单过滤（继续独立于系统的证书体系，利用云和本地数据库，话说被盗用的证书应该不多吧）和证书ocsp（联网证书状态协议）
（4）为了防止病毒对系统证书体系的篡改，建议学习金山对“受信任的根证书颁发机构”的保护（加到“系统加固”？）
（5）检测到非法的证书（根证书不在白名单，签名证书在黑名单，ocsp表示是吊销的证书）签名的程序要提出警报，并自动上传
（6）在检测数字签名合法性的期间，把程序放到虚拟机（偶想说沙盘，可是星星说过不做）观察，其他防御机制继续工作
要是嫌麻烦，索性不理数字签名把

expensive6688

Ventureminking 发表于 2011-7-12 10:15
沙发抢到了
LZ图文并茂好啊好

你抢我的SF干嘛，还没发完呢

Ventureminking

expensive6688 发表于 2011-7-12 10:42
你抢我的SF干嘛，还没发完呢

这么拽？板凳我也拿了。支持测试。

涩涩的猪

结果如何?

expensive6688

涩涩的猪 发表于 2011-7-12 10:45
结果如何?

看3L

hw090807

星星有待进步。

涩涩的猪

expensive6688 发表于 2011-7-12 10:47
看3L

很形象吗! 下次锁帖编辑,再开帖.

expensive6688

涩涩的猪 发表于 2011-7-12 10:55
很形象吗! 下次锁帖编辑,再开帖.

偶加255了不知为何又自动清除了