Подделываем электронную подпись Microsoft Corporation

Тема в разделе "СТАТЬИ И УРОКИ ПО ВЗЛОМУ И ОБХОДУ ЗАЩИТЫ", создана пользователем Антоха, 6 июн 2014.

↑ ↓
  1. Антоха Администратор
    Антоха
    Ответить в чате

    Администрация

    Регистрация:
    26.12.2012
    Сообщения:
    3.190
    Симпатии:
    11.100
    Пол:
    Мужской
    Репа:
    +11.248 / 47 / -6
    Jabber:
    Skype:
    Скажу сразу,это всего лишь визуальная маскировка.В свойствах файла появится дополнительная вкладка с "цифровой подписью",но для жертвы этого может быть достаточно.Итак что нам нужно для производства и установки эл. подписи (весь софт в архиве,все утилиты майкрософтовские):
    Cert2spc.exe (средство проверки сертификата издателя программного обеспечения)
    Makecert.exe (средство создания сертификатов)
    PVKIMPRT.EXE
    signtool.exe (программа подписывания)
    capicom.dll
    В статьях выше видно,что ими пользуются через командную строку и дабы упростить эту процедуру,мы применим вот такой батник:
    Код:
    makecert -"CN=Microsoft Corporation" -a sha1 -eku 1.3.6.1.5.5.7.3.3 --sv sert.pvk sert.cer -ss Root -sr localMachine
    cert2spc
    .exe sert.cer sert.spc
    PVKIMPRT
    .EXE -pfx sert.spc sert.pvk
    signtool
    .exe sign //f sert.pfx /p XXX /t http://timestamp.verisign.com/scripts/timestamp.dll /d "Generic Host Process for Win32 Services" /v program.exe
    pause
    Где значение p XXX (в последней строчке),это наш пароль.Вместо XXX вписываем любое значение и вводим его в дальнейшем при запросе проги для подписывания.Последовательность действий:
    1.Переименовываем файл,который нужно подписать, в program.exe
    2.Все утилиты,батник и наш файл помещаем в одну папку.
    3.Запускаем батник.Видим:

    Снимок.PNG
    Везде вводим наш пароль (который прописан в батнике) и подтверждаем нажатием "ОК".
    Снимвок.PNG

    Сныыыимок.PNG
    Если всё прошло успешно,откроется мастер создания сертификатов:
    Снимыыок.PNG
    Жмём "Далее" и выбираем пункт "Да,экспортировать закрытый ключ"
    Сникккмок.PNG
    Все настройки можно оставить по умолчанию:
    Снимоыыыык.PNG
    Последнее подтверждение пароля
    Сни1212мок.PNG
    Прописываем имя экспортируемого файла,в поле "Имя файла" пишем sert.
    Сн5656имок.PNG
    Всё.Последне диалоговое окно:
    Сним567899ок.PNG
    Вид консоли при успешном завершении:
    Снимо098776к.PNG
     
    • Мне нравится Мне нравится x 5
  2. Антоха Администратор
    Антоха
    Ответить в чате

    Администрация

    Регистрация:
    26.12.2012
    Сообщения:
    3.190
    Симпатии:
    11.100
    Пол:
    Мужской
    Репа:
    +11.248 / 47 / -6
    Jabber:
    Skype:
    Вот и всё.Теперь в свойствах файла появилась дополнительная вкладка :
    Снимок.PNG

    Но если внимательно просмотреть её сведения,то будет ясно,что дело нечисто.
    На основной системе,то есть "восьмёрке",мне не удалось подписать программу.Выдавало ошибку отсутствия capicom.dll (или типа того).
    Снимок1.PNG
    Поэтому всё делал на "экспихе".
    В архиве сборник утилит и батник+БОНУС винлок с цифровой подписью-Microsoft Fixit (пароль для разблокировки test).Пароль на архив:111
    Но повторяю,это всего лишь маскировка и никакой антивирь не клюнет на такую подпись.Но чисто визуально,ели дотошно не изучать,вполне покатит.
    1.
    Да,кстати,так можно сделать не только подпись Майкрософт,а и любых других компаний.Только нужно прописать в батнике другие данные .
    Основа статьи (можно сказать копипаст) взята отсюда.
     

    Вложения:

    • Мне нравится Мне нравится x 7
  3. Антоха Администратор
    Антоха
    Ответить в чате

    Администрация

    Регистрация:
    26.12.2012
    Сообщения:
    3.190
    Симпатии:
    11.100
    Пол:
    Мужской
    Репа:
    +11.248 / 47 / -6
    Jabber:
    Skype:
    Интересно,как небольшое редактирование исходников влияет на показание VT.Вот отчёт по стандартному винлоку без всяких изменений.Далее,добавим к винлоку какую нибудь надпись на фейс и сменим родную дельфовскую иконку (ну и название для удобства)-смотрим отчёт.А теперь добавим цифровую подпись и описание программы в "Свойствах"-отчёт VT.
    Вывод:лишняя мишура в данном случае палит файл ещё больше.
    Во вложении тот же самый винлок,но с добавленной надписью.В итоге практически все антивири сигнатурно потеряли нюх.Пасс на архив:111
    Пасс на разблокировку:test
     

    Вложения:

    • Мне нравится Мне нравится x 4

Поделиться этой страницей