pe文件签名信息检测技术

什么是pe文件的签名信息：
以windows系统中NDIS.sys驱动程序为例，在该文件的右键属性窗口中，若包含数字签名属性页，则表示该pe文件内嵌有签名信息，如下图所示：

当双击签名列表时，可以查看数字签名信息详情，如下图所示：

​在详情中包含了签名者信息以及签名时间戳等重要的信息，同时查看高级属性页时，可以看到更加丰富的签名信息，如下图所示：

​其中包括摘要算法、摘要加密算法等重要的密码学问题相关的信息。
同时点击查看证书时，可以查看到证书详情信息，如下图所示：

从中可以看到颁发者、证书有效期、公钥长度等重要信息。安全工具可以通过分析以上这些重要信息来判断是否存在安全风险。比如是否使用了不安全密码学算法、密钥长度是否满足安全规范、证书有效期是否有效等等。​

pe文件如何保存这些签名信息数据的：
利用peview.exe工具来查看Ndis.sys驱动程序，可以看到签名信息存在于IMAGE_NT_HEADER结构里面，如下图所示：

该签名结构解析后可以得到签名信息在文件中的偏移地址和数据长度信息，python代码如下：​

security_entry = pefile.DIRECTORY_ENTRY["IMAGE_DIRECTORY_ENTRY_SECURITY"]​

sig_off = pe_obj.OPTIONAL_HEADER.DATA_DIRECTORY[security_entry].VirtualAddress​

sig_len = pe_obj.OPTIONAL_HEADER.DATA_DIRECTORY[security_entry].Size​

根据偏移地址和数据长度获取签名数据，python代码如下：​

with open(file_path, 'rb') as fh:​

fh.seek(sig_off)​

sig_raw_data = fh.read(sig_len)​

# 签名数据的结构如下：​

# DWORD dwLength 签名证书数据长度​

# WORD wRevision 签名证书的版本号​

# WORD wCertificateType 签名证书类型​

# BYTE bCertificate[dwLength]签名证书数据​

# 签名证书的版本号​

# Version 1 is the legacy version of WIN_CERTIFICATE.WIN_CERT_REVISION_1_0 = 0x0100​

# Version 2 is the current version of WIN_CERTIFICATE.WIN_CERT_REVISION_2_0 = 0x0200​

# 签名证书类型​

# X.509 CertificateWIN_CERT_TYPE_X509 = 0x0001​

# PKCS SignedData structureWIN_CERT_TYPE_PKCS_SIGNED_DATA = 0x0002​

# ReservedWIN_CERT_TYPE_RESERVED_1 = 0x0003​

# Terminal Server Protocol Stack Certificate signingWIN_CERT_TYPE_TS_STACK_SIGNED = 0x0004​

使用ASN.1 Editor工具可以查看签名证书数据，如下图所示：

Python中可以利用asn1crypto组件来实现对签名证书的解析，python样例代码如下：​

info = cms.ContentInfo.load(seq_data)​

signed_data = info['content']​

cert_set = signed_data["certificates"]​

#通过遍历cert_set可以获取所有证书详情信息for cert in cert_set:​

cert_data = cert.dump()​

cert = x509.Certificate.load(cert_data)​

#解析cert就可以获取证书详情信息​

#通过查找id-ct-TSTInfo content type 1.2.840.113549.1.9.16.1.4来获取签名时间信息​

encap_content_info = signed_data['encap_content_info']​

# id-ct-TSTInfo content type​

tst_info = tsp.TSTInfo.load(encap_content_info['content'].parsed.dump())​

signing_time = tst_info['gen_time'].native.astimezone().strftime('%Y-%m-%d %H:%M:%S')​

另外在签名数据中包含有非签名的数据属性，python样例代码如下：​

signer_info = cms.SignerInfo.load(obj.contents)​

attrs = signer_info['unsigned_attrs']​

需要注意的是不同的签名属性，获取签名时间戳等信息的方法是不同的，常见的属性有：
counter_signature、microsoft_nested_signature、microsoft_time_stamp_token
这些属性中嵌套有另外的签名证书结构数据​

通过这些层层数据结构的解析就可以获取到所有的证书详情信息，如下图所示