修改后的软件。数字签名无效。

左手

用的是ikmi的工具，把以前弄的MD加了签名。
但是提示是无效。
存在的问题：
一开机运行，就提示是否要运行Malware Defender.exe文件(也就我的修改版）。
请问：可否把这个修改的主程序的签名弄成有效的？
------------@ 各位软件达人。

绯色鎏金

请理解数字签名的作用。
数字签名是为了确保文件自签名之时起不被修改破坏，只要对签过名的文件进行了修改，数字签名就会验证失效，要是修改以后数字签名还有效，那这签名也就没卵用了。

想要数字签名有效，自己买证书，自己签名，然而数字证书很贵，就个人用途而言，没几个人会买。
此外已被破坏签名的程序，会不会无法被再次签名，也不好说

数字签名本身不具备可信度，真正可信的是软件作者/公司，基于对作者的信任，才可以相信数字签名。换言之，病毒的作者用合法签名签发的病毒，就能因为签名有效而去相信？？

左手

绯色鎏金 发表于 2018-2-1 10:04
请理解数字签名的作用。
数字签名是为了确保文件自签名之时起不被修改破坏，只要对签过名的文件进行了修改 ...

谢谢。想请ikim老大帮忙帮签一下，一劳永逸。
你说的意思，我大体明白。我就事论事，主要是修改后的这个软件md，如果不签，在开机就会提示无效。达不到保护效果。

此外已被破坏签名的程序，会不会无法被再次签名，也不好说

如果不行，就算了。我另外想办法。
百度上说要从组策略中去配置。

黑暗的背叛者

其实很简单。生成一个自签名证书，然后添加到信任的根证书里，用这个证书生成代码签名证书来给文件签名。
已经改好的：https://mega.nz/#!cfJFWLzI!TyA23g7uDHsYTsmj9fwBkpeeW9kLkaEbAArwS-EcUFM
导入证书到信任中就可以正确识别了。

10467106

支付宝证书可以用来签名软件。

左手

黑暗的背叛者 发表于 2018-2-1 13:08
其实很简单。生成一个自签名证书，然后添加到信任的根证书里，用这个证书生成代码签名证书来给文件签名。
...

你修改好的文件可否发我的邮箱：
你这个网址，我打不开。要FQ？

左手

黑暗的背叛者 发表于 2018-2-1 13:08
其实很简单。生成一个自签名证书，然后添加到信任的根证书里，用这个证书生成代码签名证书来给文件签名。
...

你太帅了。真的。我刚才用HOSTS添加几个到本地。然后打开你的网址。用了一下。成功了。太谢谢你了。

ikimi

左手 发表于 2018-2-1 10:46
谢谢。想请ikim老大帮忙帮签一下，一劳永逸。
你说的意思，我大体明白。我就事论事，主要是修改后的这个 ...

简单说一下

WINDOWS PE文件代码签名、检验，是对文件HASH的值进行加解密和验证的过程，流程如下

1、确定代签名文件的HASH算法和HASH值（如SHA256算法并得到一串1234567的数值）

2、程序作者使用代码签名证书私钥签名1234567，得到验证数值ABCDEFG，并将ABCDEFG按PE文件格式附加于该文件末尾

3、其他用户得到文件，使用数字签名里证书的与上述私钥配套的公钥验证，若数值一样，即提示该签名正常

因此，不难看出，如果只是简单的把一个数字签名硬套在另一个文件上，假设另一个文件的HASH值是7654321，那么在用公钥验证时一定不会得到与原值一样的数值（HASH值相同可能性几无），于是系统提示该签名没有验证对象，但是签名所使用的证书本身是完好的，，只是签名所包含的验证值与实际文件验证值不一致。

当然签名无效有很多原因，除上之外，未时间戳而过证书有效期、证书本身损坏等皆可致签名无效。

左手

ikimi 发表于 2018-2-1 16:41
简单说一下

WINDOWS PE文件代码签名、检验，是对文件HASH的值进行加解密和验证的过程，流程如下

谢谢ikmi老大解答。