usdt钱包支付(www.caibao.it):数字签名挟制
菜宝钱包(caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。
数字署名挟制
声明
本文只是用来交流手艺,切勿使用该手艺运用到非法途径中,否则一切与作者无关!
回首
开发人员通常会署名他们的代码,以便向用户保证他们的软件是受信托的,而且尚未以恶意方式对其举行修改。这是通过使用数字署名来完成的。因此,署名代码是一种验证文件真实性和完整性的方式。
威胁猎手和蓝队通常检查二进制文件的数字署名,以便举行初始检查并确定是否应将其视为可疑文件。Microsoft防御性手艺(例如AppLocker和Device Guard)支持使用规则,这些规则仅允许来自受信托的发布者并经过数字署名的可执行文件和PowerShell剧本在系统上执行。通过使用证书执行此验证。
可以通过PowerShell挪用Get-AuthenticodeSignature并使用Sysinternals的SigCheck实用程序来执行数字署名的验证。
在之前我有写过一篇署名伪造的文章,但由于hash差别,最后署名是失效的,只能通过自写证书来绕过,但与该方式有本质上的区别。
绕过署名验证
纵然受信托的证书已被窃取并应用于恶意二进制文件,由于Authenticode哈希将不匹配,因此数字署名仍将无效。无效的authenticode哈希值强烈解释该二进制文件不合法。从PowerShell控制台对具有受信托证书的二进制文件执行Get-AuthenticodeSignature会发生HashMismatch错误。
这里我演示下通过sigthief来给nc.exe赋予
python3 sigthief.py -i C:WindowsSystem32consent.exe -t nc.exe -o ladon.exe使用 Get-AuthenticodeSignature对比下两个程序的hash和状态。
可执行代码由数字证书的私钥署名。公钥嵌入在证书自己中。由于不知道私钥,由于哈希将有所差别,它将始终使哈希验证历程失败。
因此,需要通过注册表修改来削弱数字署名验证机制。发现了在哈希表的哪个位置执行验证以及若何执行哈希验证。该 CryptSIPDllVerifyIndirectData组件处置的PowerShell剧本和可执行文件的便携式数字署名验证。
,,菜宝钱包(caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。
这些注册表项位于以下注册表位置:
HKLMSOFTWAREMicrosoftCryptographyOIDEncodingType 0CryptSIPDllVerifyIndirectData{603BCC1F-4B59-4E08-B724-D2C6297EF351}
HKLMSOFTWAREMicrosoftCryptographyOIDEncodingType 0CryptSIPDllVerifyIndirectData{C689AAB8-8E78-11D0-8C47-00C04FC295EE}需要把这两个注册表中图中红箭头处修改为(修改注册表时全程开着火绒,能正常修改)
DLL - C:WindowsSystem32ntdll.dll
FuncName - DbgUiContinue实战运用
不能运用到实战中的手艺都是瞎研究,那么这项手艺能让我们来干什么?
1
从图中可以看出署名已经被识别为正常,可用了
2
有些杀软检测程序是否有正常的署名,如果有则直接bypass
测试杀软:360杀毒、火绒
这是有署名的杀软效果
这是没有署名的查杀
我也不知道为什么K8大佬的ladon工具会被查杀,滑稽。
结语
运用场景不止上面这些,人人可以自己多试探试探,最关键是若何打出组合拳。
