检查EXE上的数字签名

时间:2014-06-05 12:16:39

标签: c# .net exe x509

我的.NET exe是使用signtool签名的。 使用此代码,我可以验证证书本身的有效性:

var cert = X509Certificate.CreateFromSignedFile("application.exe");
var cert2 = new X509Certificate2(cert.Handle);
bool valid = cert2.Verify();

但是,这仅检查证书本身,而不检查EXE的签名。因此,如果EXE被篡改,此方法无法检测到它。

如何查看签名?

3 个答案:

答案 0 :(得分:12)

您需要从WinVerifyTrust()调用(P / Invoke)wintrust.dll函数。 (据我所知)在托管.NET中没有替代方案。

您可以找到此方法的文档here

有人已经问过这个问题了。它不被接受,但它应该是正确的(我只滚动)。 Take a look.

你也可以看看this guide,但他们也是这样做的。

答案 1 :(得分:2)

我搜索了github并找到了使用PowerShell对象检查有效Authenticode签名的Azure Microsoft C#code

    /// <summary>
    /// Check for Authenticode Signature
    /// </summary>
    /// <param name="providedFilePath"></param>
    /// <returns></returns>
    private bool VerifyAuthenticodeSignature(string providedFilePath)
    {
        bool isSigned = true;
        string fileName = Path.GetFileName(providedFilePath);
        string calculatedFullPath = Path.GetFullPath(providedFilePath);

        if (File.Exists(calculatedFullPath))
        {
            Log.LogMessage(string.Format("Verifying file '{0}'", calculatedFullPath));
            using (PowerShell ps = PowerShell.Create())
            {
                ps.AddCommand("Get-AuthenticodeSignature", true);
                ps.AddParameter("FilePath", calculatedFullPath);
                var cmdLetResults = ps.Invoke();

                foreach (PSObject result in cmdLetResults)
                {
                    Signature s = (Signature)result.BaseObject;
                    isSigned = s.Status.Equals(SignatureStatus.Valid);
                    if (isSigned == false)
                    {
                        ErrorList.Add(string.Format("!!!AuthenticodeSignature status is '{0}' for file '{1}' !!!", s.Status.ToString(), calculatedFullPath));
                    }
                    else
                    {
                        Log.LogMessage(string.Format("!!!AuthenticodeSignature status is '{0}' for file '{1}' !!!", s.Status.ToString(), calculatedFullPath));
                    }
                    break;
                }
            }
        }
        else
        {
            ErrorList.Add(string.Format("File '{0}' does not exist. Unable to verify AuthenticodeSignature", calculatedFullPath));
            isSigned = false;
        }

        return isSigned;
    }

答案 2 :(得分:1)

要验证签名.exe文件的完整性,我们可以使用StrongNameSignatureVerificationEx方法:

[DllImport("mscoree.dll", CharSet = CharSet.Unicode)]
public static extern bool StrongNameSignatureVerificationEx(
        string wszFilePath, bool fForceVerification, ref bool pfWasVerified);    

var assembly = Assembly.GetExecutingAssembly();
bool pfWasVerified = false;
if (!StrongNameSignatureVerificationEx(assembly.Location, true, ref pfWasVerified))
{           
    // it's a patched .exe file!   
}

但这还不够。可以删除签名,然后再次应用/重新创建它! (有很多工具可以做到这一点)在这种情况下,您需要将签名的公钥存储在某处(作为资源),然后将其与新/当前公钥进行比较。 more info here

相关问题
最新问题