【疑问】蜘蛛墙能识别真假签名？

显示全部楼层 · 发表于 2025-2-26 09:22:32

本帖最后由 aikafans 于 2025-2-26 09:27 编辑

事情是这样的，昨天样本去看到一个银狐样本：https://bbs.kafan.cn/thread-2279474-2-1.html
双击样本，大蜘蛛防火墙、火绒均提示程序有联网动作（冰盾只对没有签名的联网程序有提醒），然后区分点出来了：
1️⃣火绒：明确显示了程序的签名“Tencent Technology (Shenzhen) Company Limited”。
2️⃣Dr.Web：提醒有联网并明确在该数字签名前面标记了“❌”，
但是，对于正常的腾讯软件，数字签名前面标记的是“✅”。
3️⃣补充：大蜘蛛本身并没有识别这是木马软件，扫描双击都miss。
我就很好奇，难道大蜘蛛能识别程序的真假签名？

还是有其他我认为很奇特但实际很白痴的原因，轻喷。

显示全部楼层 · 发表于 2025-2-26 10:25:11

因为它签名本来就是损坏的，验证下签名的有效性和完整性挺正常的吧

显示全部楼层 · 发表于 2025-2-26 10:51:42

wywt123 发表于 2025-2-26 10:25
因为它签名本来就是损坏的，验证下签名的有效性和完整性挺正常的吧

这个还真不太懂，防火墙已经很久很久没太关注了

以前用的sep纯墙，那玩意儿比较只能省心
反正数字签名这块，我基本上是知识空白

显示全部楼层 · 发表于 2025-2-26 11:14:20

aikafans 发表于 2025-2-26 10:51
这个还真不太懂，防火墙已经很久很久没太关注了
以前用的sep纯墙，那玩意儿比较只能省心
反正数 ...

有一套api专门验证签名的，即便是复制了别的exe的签名也没用，算出来的hash不对的。

显示全部楼层 · 发表于 2025-2-26 11:23:50

Alick7 发表于 2025-2-26 11:14
有一套api专门验证签名的，即便是复制了别的exe的签名也没用，算出来的hash不对的。

原来这样，谢谢解答
这样的话，蜘蛛墙确实蛮好用的

显示全部楼层 · 发表于 2025-2-26 13:13:01

不是识别真假签名是识别签名是否有效复制头出来的签名是无效的

显示全部楼层 · 发表于 2025-2-26 13:20:49

不是真假是有没有效

显示全部楼层 · 发表于 2025-2-26 13:44:37

liu浪的人发表于 2025-2-26 13:20
不是真假是有没有效

ok，蟹蟹

显示全部楼层 · 发表于 2025-2-26 13:45:12

神龟Turmi 发表于 2025-2-26 13:13
不是识别真假签名是识别签名是否有效复制头出来的签名是无效的

明白了，蟹蟹龟龟

显示全部楼层 · 发表于 2025-2-26 13:48:19

Alick7 发表于 2025-2-26 11:14
有一套api专门验证签名的，即便是复制了别的exe的签名也没用，算出来的hash不对的。

还有这种的呀

[讨论] 【疑问】蜘蛛墙能识别真假签名？

本帖子中包含更多资源

评分

评分

评分