[分享]今天研究了下数字签名的一些验证工具

今天研究了下数字签名的一些验证工具
用sigverif验证系统文件的数字签名，很实用，
在病毒动不动就伪装系统文件的今天，只有通过数字签名Verified来验证是比较可靠的。

同时发现，sigverif还可以验证非系统文件，点“高级”后，指定要验证的文件夹，选择“包括子文件夹”，就可以一个不漏地进行验证了。

并和sreng扩展中的文件数字签名验证插件比较了下，（该插件可以在sreng网站下载）
发现sreng扩展中的文件数字签名验证插件扫描速度快，同样它也可以验证微软的文件或其他公司的文件。
只验证dll、sys、exe等包含程序代码的文件，不验证图片，图像，文本等纯数据文件。而sigverif会验证所有文件。
sigverif不会显示签名者，只会提示通过验证或不通过。
sreng扩展中的文件数字签名验证插件能显示签名者：
比如验证系统文件，未被改过的系统文件，就能通过微软的签名验证，签名者显示：Microsoft Windows 。。。。。
如果是金山的未改过文件，通过签名验证，就显示签名者是：KINGSOFT CORPORATION
同样是sreng，扫描同样的一个文件igfxtray.exe：
在sreng的智能扫描中，启动项扫描中能显示：
<igfxtray><C:\WINDOWS\system32\igfxtray.exe>  [(Verified)Microsoft Windows Hardware Compatibility Publisher]
但sreng扩展中的文件数字签名验证插件扫描中只显示：
状态              签名者          文件路径
0x00000000        -        C:\WINDOWS\system32\igfxtray.exe
显示不了签名者，只是显示能通过验证。（0x00000000表示通过验证）

我估计以后病毒伪装成微软文件的可能性很大，比如日志中文件的公司信息是Microsoft Corporation，但没有Verified标识，比如：
%SystemRoot%\system32\conime\conime.dll><Microsoft Corporation>，而conime.dll就是病毒。
机器狗更改系统文件就比较明显，它更改的explore.exe和userinit.exe，日志扫描出来后，没有公司标识，肯定有问题。

我发现，sreng扫描，启动项扫描倒是验证数字签名，进程模块签名验证是可选，其他项(驱动、服务等)都不验证数字签名，如果选定进程模块签名验证，扫描后，通过验证的模块就不显示，未通过验证的就显示在日志中。
比如：扫描本人电脑的的进程
选定进程模块签名验证：
[PID: 2272 / admindsd][D:\Program Files\Windows Defender\MSASCui.exe]  [Microsoft Corporation, 1.1.1593.0]
    [D:\Program Files\Windows Defender\MsMpRes.dll]  [Microsoft Corporation, 1.1.1593.0]
    [D:\Program Files\Kingsoft\Kingsoft Internet Security 2008\KMailOEBand.DLL]  [Kingsoft Corporation, 2007,11,29,128]
    [D:\Program Files\Kingsoft\Kingsoft Internet Security 2008\kis.dll]  [Kingsoft Corporation, 2008,01,03,173]
未选定进程模块签名验证：
[PID: 2272 / admindsd][D:\Program Files\Windows Defender\MSASCui.exe]  [Microsoft Corporation, 1.1.1593.0]
    [D:\Program Files\Windows Defender\MpClient.dll]  [Microsoft Corporation, 1.1.1593.0]
    [D:\Program Files\Windows Defender\MsMpRes.dll]  [Microsoft Corporation, 1.1.1593.0]
    [D:\Program Files\Windows Defender\MpRtMon.DLL]  [Microsoft Corporation, 1.1.1593.0]
    [D:\Program Files\Kingsoft\Kingsoft Internet Security 2008\KMailOEBand.DLL]  [Kingsoft Corporation, 2007,11,29,128]
    [D:\Program Files\Kingsoft\Kingsoft Internet Security 2008\kis.dll]  [Kingsoft Corporation, 2008,01,03,173]
我查了下，MpClient.dll，MpRtMon.DLL是能通过微软的数字签名，而金山公司的这2个模块实际能通过金山的签名。但sreng仍然显示出来，是表示sreng只验证模块是否是微软的文件，还是sreng的验证漏洞？？


以后sreng还要挑战rootkit隐藏病毒的问题，包括ntfs流隐藏病毒的问题。任何时候，日志是关键，没有全面可靠的日志，就无法开出药方，当然，首先是sreng不被克制，能运行才行。本人水平有限。说了这么多，大家有什麽补充的呢？
补充一下：
Process Explorer V11.01 汉化版也能验证数字签名，

我还是不太懂啊。人笨没办法

楼主说的有点深奥，没明白！

什么东东啊！！！