• Уменьшение отступа

    Обратная связь

    (info@ru-sfera.pw)

Подделываем электронную подпись Microsoft Corporation


Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 652
Скажу сразу,это всего лишь визуальная маскировка.В свойствах файла появится дополнительная вкладка с "цифровой подписью",но для жертвы этого может быть достаточно.Итак что нам нужно для производства и установки эл. подписи (весь софт в архиве,все утилиты майкрософтовские):
(средство проверки сертификата издателя программного обеспечения)
(средство создания сертификатов)
PVKIMPRT.EXE
(программа подписывания)
capicom.dll
В статьях выше видно,что ими пользуются через командную строку и дабы упростить эту процедуру,мы применим вот такой батник:
Код:
makecert -n "CN=Microsoft Corporation" -a sha1 -eku 1.3.6.1.5.5.7.3.3 -r -sv sert.pvk sert.cer -ss Root -sr localMachine
cert2spc.exe sert.cer sert.spc
PVKIMPRT.EXE -pfx sert.spc sert.pvk
signtool.exe sign /v /f sert.pfx /p XXX /t http://timestamp.verisign.com/scripts/timestamp.dll /d "Generic Host Process for Win32 Services" /v program.exe
pause
Где значение p XXX (в последней строчке),это наш пароль.Вместо XXX вписываем любое значение и вводим его в дальнейшем при запросе проги для подписывания.Последовательность действий:
1.Переименовываем файл,который нужно подписать, в program.exe
2.Все утилиты,батник и наш файл помещаем в одну папку.
3.Запускаем батник.Видим:

Снимок.PNG

Везде вводим наш пароль (который прописан в батнике) и подтверждаем нажатием "ОК".
Снимвок.PNG


Сныыыимок.PNG

Если всё прошло успешно,откроется мастер создания сертификатов:
Снимыыок.PNG

Жмём "Далее" и выбираем пункт "Да,экспортировать закрытый ключ"
Сникккмок.PNG

Все настройки можно оставить по умолчанию:
Снимоыыыык.PNG

Последнее подтверждение пароля
Сни1212мок.PNG

Прописываем имя экспортируемого файла,в поле "Имя файла" пишем sert.
Сн5656имок.PNG

Всё.Последне диалоговое окно:
Сним567899ок.PNG

Вид консоли при успешном завершении:
Снимо098776к.PNG
 

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 652
Вот и всё.Теперь в свойствах файла появилась дополнительная вкладка :
Снимок.PNG


Но если внимательно просмотреть её сведения,то будет ясно,что дело нечисто.
На основной системе,то есть "восьмёрке",мне не удалось подписать программу.Выдавало ошибку отсутствия capicom.dll (или типа того).
Снимок1.PNG

Поэтому всё делал на "экспихе".
В архиве сборник утилит и батник+БОНУС винлок с цифровой подписью-Microsoft Fixit (пароль для разблокировки test).Пароль на архив:111
Но повторяю,это всего лишь маскировка и никакой антивирь не клюнет на такую подпись.Но чисто визуально,ели дотошно не изучать,вполне покатит.
1.gif

Да,кстати,так можно сделать не только подпись Майкрософт,а и любых других компаний.Только нужно прописать в батнике другие данные .
Основа статьи (можно сказать копипаст) взята
 

Вложения

  • утилиты.rar
    215.2 КБ · Просмотры: 87
  • Microsoft Fixit.rar
    171.7 КБ · Просмотры: 59

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 652
Интересно,как небольшое редактирование исходников влияет на показание VT. по стандартному винлоку без всяких изменений.Далее,добавим к винлоку какую нибудь надпись на фейс и сменим родную дельфовскую иконку (ну и название для удобства)- А теперь добавим цифровую подпись и описание программы в "Свойствах"-
Вывод:лишняя мишура в данном случае палит файл ещё больше.
Во вложении тот же самый винлок,но с добавленной надписью.В итоге практически все антивири сигнатурно потеряли нюх.Пасс на архив:111
Пасс на разблокировку:test
 

Вложения

  • MicrosoftFixit (1).rar
    448.9 КБ · Просмотры: 36

xrahiel

Уважаемый пользователь
Форумчанин
Регистрация
17.03.2015
Сообщения
17
Репутация
13

и
 

asar

Пользователь
Форумчанин
Регистрация
23.02.2019
Сообщения
13
Репутация
2
Telegram

и
опять ты, и здесь ты, разумеется sigthief, лучше
 

ivdic

Пользователь
Форумчанин
Регистрация
24.01.2018
Сообщения
4
Telegram
какой толк от если подпись получается невалидная? тут только использовать вычисление коллизий чтобы кэш совпала с оригиналом, что не так просто..
поэтому метод с самоподписным сертификатом более действенный

тесты показали что касперский не удалил такой файл (подписанный самоподписаным сертификатом) и не нашел его опасным...но запустится не дал :-(
 
Последнее редактирование:

xrahiel

Уважаемый пользователь
Форумчанин
Регистрация
17.03.2015
Сообщения
17
Репутация
13
какой толк от если подпись получается невалидная? тут только использовать вычисление коллизий чтобы кэш совпала с оригиналом, что не так просто..
поэтому метод с самоподписным сертификатом более действенный
для обхода алерта делают в хроме.
 

virt

Просветленный
Просветленный
Регистрация
24.11.2016
Сообщения
706
Репутация
228
что именно? опишите подробнее
Хром непроверяет подпись на валид.

позволяет избавится от сообщения в хроме, что файл вредоносный.)
 
Верх Низ