Как определить наличие цифровой подписи в exe файле?

[gora]

Как определить наличие цифровой подписи в exe файле?
Желательно без использования сторонних утилит, только средствами Autoit.

 

[beliy]

ссылка по теме:
http://forum.oszone.net/thread-217836.html

вариант на Autoit:
http://forum.oszone.net/post-1469344-9.html

 

[gora]

beliy [?]

ссылка по теме:

gora [?]

Желательно без использования сторонних утилит, только средствами Autoit.

А там требуется сторонняя утилита.
beliy

вариант на Autoit

Скрипт в посте не выводит информации о наличии цифровой подписи.

 

[beliy]

Скрипт в посте не выводит информации о наличии цифровой подписи.

Сорь не доглядел
мб это поможет
http://www.autoitscript.com/forum/topic/124467-verifying-signed-files/page__view__findpost__p__866254

 

[gora]

beliy [?]

мб это поможет

У меня этот скрипт не срабатывает. :( Почитал ветку, но не нашел решения.

 

[Medic84]

gora
А на немецкий форум ты заходил из этой ветки? Там лежал скрипт WinTrust.au3 и кажется это то что тебе нужно.
Файл WinTrust.au3

 

[gora]

Medic84 [?]

WinTrust.au3 и кажется это то что тебе нужно

Смотрел, но он у меня на файлах без подписи выдает:

An unknown error occurred trying to verify the signature of the "%s" file.

Хотя по логике должно быть:

The file "%s" is not signed or does not exist

А при попытке запуска на виртуалке (тоже Win7 x64) вообще зависает и с большой задержкой вываливается с ошибкой:

---------------------------

---------------------------
Error is: 0x800b0109.

---------------------------
ОК
---------------------------

 

[beliy]

У меня этот скрипт не срабатывает.

На xp sp3 норм

Насколько я понял, то проблема в

Win7 x64

Как профиксить к сожалению не подскажу

 

[gora]

Значит решения нет? AutoIt, своими средствами, этого сделать не может?

 

[Yuri]

gora
Может найдешь для себя что-то
полезное в этой статье
http://habrahabr.ru/post/104333/

 

[Medic84]

#include <Array.au3>

Const $xStart = "50450000" ;заголовок
Const $xOffset = 148 * 2 ;смещение до контрольной суммы относительно заголовка
Const $sPtrn = '(..)'

$sPathLog = "C:\Users\Дмитрий\Downloads\autoit-v3-setup.exe"

$hOpen = FileOpen($sPathLog,16)
$sFounded = StringRegExp(FileRead($hOpen,1024), $xStart & ".{" & $xOffset & "}(.{8})(.{8}).*",3)
FileClose($hOpen)

If IsArray($sFounded) And UBound($sFounded) = 2 Then
	$sFounded[0] = StringRegExpReplace($sFounded[0], $sPtrn & $sPtrn & $sPtrn & $sPtrn, '$4$3$2$1')
	$sFounded[1] = StringRegExpReplace($sFounded[1], $sPtrn & $sPtrn & $sPtrn & $sPtrn, '$4$3$2$1')
	
	$hSum = Dec($sFounded[0]) + Dec($sFounded[1])

	If Dec($sFounded[0]) = 0 And Dec($sFounded[1]) = 0 Then
		MsgBox(64,"Информация","Файл НЕ подписан сертификатом")
		Exit
	ElseIf Dec($sFounded[0]) = 0 or Dec($sFounded[1]) = 0 Then
		MsgBox(16,"Информация","Сертификат битый")
		Exit
	EndIf

	If Hex($hSum,16) <> Hex(FileGetSize($sPathLog),16) Then
		MsgBox(16,"Ошибка","Файл\сертификат битый")
	Else
		MsgBox(64,"Информация","Файл подписан сертификатом" & @CRLF & "Адрес: 0x" & $sFounded[0] & @CRLF & "Длинна сертификата: 0x" & $sFounded[1])
	EndIf
	
Else
	MsgBox(16,"Ошибка","Не найдена сигнатура PE формата")
EndIf

Конечный вариант.

 

[Medic84]

#include <Array.au3>

Const $xStart = "50450000" ;заголовок
Const $xOffset = 148 * 2 ;смещение до контрольной суммы относительно заголовка
Const $sPtrn = '(..)'

$sPathLog = "C:\Users\Дмитрий\Downloads\autoit-v3-setup.exe"

$hOpen = FileOpen($sPathLog,16)
$sFounded = StringRegExp(FileRead($hOpen,1024), $xStart & ".{" & $xOffset & "}(.{8})(.{8}).*",3)


If IsArray($sFounded) And UBound($sFounded) = 2 Then
	$sFounded[0] = StringRegExpReplace($sFounded[0], $sPtrn & $sPtrn & $sPtrn & $sPtrn, '$4$3$2$1')
	$sFounded[1] = StringRegExpReplace($sFounded[1], $sPtrn & $sPtrn & $sPtrn & $sPtrn, '$4$3$2$1')
	$hSum = Dec($sFounded[0]) + Dec($sFounded[1])

	If Dec($sFounded[0]) = 0 And Dec($sFounded[1]) = 0 Then
		MsgBox(64,"Информация","Файл НЕ подписан сертификатом")
		Exit
	ElseIf Dec($sFounded[0]) = 0 or Dec($sFounded[1]) = 0 Then
		MsgBox(16,"Информация","Сертификат битый")
		Exit
	EndIf

	If Hex($hSum,16) <> Hex(FileGetSize($sPathLog),16) Then
		MsgBox(16,"Ошибка","Файл\сертификат битый")
	Else
		FileSetPos($hOpen, Dec($sFounded[0]) ,0)
		$sRead = FileRead($hOpen,Dec($sFounded[1]))
		$sLengtName = StringRegExp($sRead, "060355040313(.{2}).*",3)
		$sSignName = StringRegExp($sRead, "060355040313.{2}(.{" & (Dec($sLengtName[0])*2) & "}).*",3)
		MsgBox(64,"Информация","Файл подписан сертификатом" & @CRLF & "Адрес: 0x" & _
		$sFounded[0] & @CRLF & "Длинна сертификата: " & (Dec($sFounded[1])) & " байт" & @CRLF & "Имя издателя: " & BinaryToString("0x"&$sSignName[0],4))
	EndIf

Else
	MsgBox(16,"Ошибка","Не найдена сигнатура PE формата")
EndIf

FileClose($hOpen)

Дополненный вариант, добавлено Имя издателя.

 

[gora]

Yuriy [?]

Может найдешь для себя что-то
полезное в этой статье

Спасибо.
Но, к сожалению, описанный метод поиска цифровой подписи неработоспособен. Просмотрел несколько файлов с подписью и обнаружил, что информация о ней не всегда находится по указанному в статье значению.

Красным выделено, расположение сигнатуры PE (50450000h), и со смешением 98h предполагаемое расположение данных о положении цифровой подписи. Зеленым выделено истинное расположение данных.

Другие варианты есть?

 

[Yashied]

А я делаю так:

Func _IsSign($sFile)

	Local $Result

	If Not FileExists($sFile) Then
		Return SetError(1, 0, 0)
	EndIf
;~	$Result = DllCall('crypt32.dll', 'bool', 'CryptQueryObject', 'dword', $CERT_QUERY_OBJECT_FILE, 'wstr', $sFile, 'dword', $CERT_QUERY_CONTENT_FLAG_PKCS7_SIGNED_EMBED, 'dword', $CERT_QUERY_FORMAT_FLAG_BINARY, 'dword', 0, 'dword*', 0, 'dword*', 0, 'dword*', 0, 'handle*', 0, 'handle*', 0, 'ptr', 0)
	$Result = DllCall('crypt32.dll', 'bool', 'CryptQueryObject', 'dword', 0x0001, 'wstr', $sFile, 'dword', 0x0400, 'dword', 0x0002, 'dword', 0, 'dword*', 0, 'dword*', 0, 'dword*', 0, 'handle*', 0, 'handle*', 0, 'ptr', 0)
	If (@Error) Or (Not $Result[0]) Then
		Return SetError(2, 0, 0)
	EndIf
;~	If $Result[7] = $CERT_QUERY_CONTENT_PKCS7_SIGNED_EMBED Then
	If $Result[7] = 10 Then
		Return 1
	Else
		Return 0
	EndIf
EndFunc   ;==>_IsSign