PE文件中的Authentihash值是怎么算出来的

坏坏小生 · 发表于 2020-11-29 23:19

本帖最后由坏坏小生于 2020-11-30 22:00 编辑

QQ图片20201129231242.png

PE文件中的Authentihash值用来校验CAT签名,不知道微软用什么算法算出来的,查了一天资料也没有结果,,
却发现https://www.virustotal.com杀毒网站能算出来,任意PE文件传上去它都能算出这个值
有没高手上段示例代码,最好是C++或者VB

感谢14楼的兄弟提供文档!~

kmzwyong12 · 发表于 2020-11-30 00:02

学无止境，学习了。谢谢版主分享！！！

爱飞的猫 · 发表于 2020-11-30 04:30

要买证书然后用 signtool 签（就是数字签名），单纯算这个值没用。

坏坏小生 · 发表于 2020-11-30 06:16

jixun66 发表于 2020-11-30 04:30
要买证书然后用 signtool 签（就是数字签名），单纯算这个值没用。

你理解错了,我是要算出这个值,再去匹配CAT文件来验证文件是否签名,而不是我要签名某个文件

tsecond · 发表于 2020-11-30 07:41

authentihash : hash to verify PE files.

authentihash is a sha256 hash used by Microsoft to verify that the relevant sections of a PE image file have not been altered. This specific type of hash is used by Microsoft AppLocker.

它是一个sha256，这个值是被微软使用来验证PE中的节(section)是不是被修改过的。具体怎么计算可以参考微软文章: https://docs.microsoft.com/en-us/windows-hardware/drivers/install/authenticode

johnsonqiao · 发表于 2020-11-30 07:45

感谢分享，学习了！

LLL1996 · 发表于 2020-11-30 08:00

大神66666

9464614 · 发表于 2020-11-30 09:15

66666大神

坏坏小生 · 发表于 2020-11-30 10:53

tsecond 发表于 2020-11-30 07:41
authentihash : hash to verify PE files.

authentihash is a sha256 hash used by Microsoft to ver ...

感谢回复,此文已看过,依然无解决方案,有关资料显示,它是把PE文件分块进行SHA256,就不清楚它是怎么分块顺序

tsecond · 发表于 2020-11-30 12:14

坏坏小生发表于 2020-11-30 10:53
感谢回复,此文已看过,依然无解决方案,有关资料显示,它是把PE文件分块进行SHA256,就不清楚它是怎么分块顺 ...

有没有尝试python代码的？我搜索到这个 https://github.com/anthrotype/verify-sigs 能访问吗？
这里面有很多python 文件。

需要python 2.7

帐号		自动登录	找回密码
密码			注册[Register]

[已解决] PE文件中的Authentihash值是怎么算出来的

个人中心