Windows代碼簽名機制缺陷研究與分析.pdf

1、代碼簽名是對可執(zhí)行文件和腳本進行數(shù)字簽名的過程，這個過程可以確認軟件的來源并且能夠保證軟件中的代碼在簽名者使用其私鑰進行簽名之后沒有被篡改。Windows操作系統(tǒng)的代碼簽名機制可以對可執(zhí)行文件中的數(shù)字簽名合法性進行驗證，識別出非法的或沒有簽名的程序。操作系統(tǒng)根據(jù)該機制來決定是否加載和運行可執(zhí)行文件，從而可以防止惡意程序的執(zhí)行以及對操作系統(tǒng)的破壞。
　　本文首先對代碼安全分析技術(shù)進行了簡要的介紹，包括了數(shù)字簽名技術(shù)、P E文件、微軟

2、Authenticode技術(shù)、驅(qū)動程序以及軟件逆向工程技術(shù)。然后結(jié)合對Windows代碼簽名驗證機制外部表現(xiàn)和內(nèi)部機理的分析，分別從該機制內(nèi)部的安全性問題以及代碼簽名機制外部的繞過方法兩個方面對代碼簽名機制存在的缺陷進行了研究與分析。
　　在代碼簽名機制內(nèi)部安全性方面，該機制存在兩個問題：(1)PE文件結(jié)構(gòu)上存在脆弱性。通過對P E文件進行二進制數(shù)據(jù)填充或是對PE文件結(jié)構(gòu)進行重組，可以在不破壞PE文件合法數(shù)字簽名的情況下對PE文件

3、進行修改；(2)Windows7和Windows8分別存在相應的脫機關(guān)閉代碼簽名機制的方法。在代碼簽名機制外部繞過方法中，主要從兩個方面對其缺陷進行了介紹：（1)攻擊者可以通過驅(qū)動程序中存在的漏洞進入內(nèi)核態(tài)關(guān)閉代碼簽名機制；（2)通過MD5散列值碰撞可以偽造數(shù)字簽名或數(shù)字證書，從而繞過代碼簽名機制的檢查。在第一個部分中，分別針對Windows7和Windows8介紹了兩種不同驅(qū)動程序漏洞的利用方法，并且通過注入ShellCode以及構(gòu)造

4、R O P鏈實現(xiàn)了進入內(nèi)核態(tài)關(guān)閉代碼簽名機制，并列舉了實例。在第二個部分中，利用“選擇性前綴MD5碰撞”方法，可以針對可執(zhí)行文件和數(shù)字證書計算相應的填充數(shù)據(jù)，制造出MD5碰撞，從而可以偽造可執(zhí)行文件的數(shù)字簽名或簽名用到的數(shù)字證書，繞過代碼簽名機制的檢查。
　　最后，本文對該機制現(xiàn)有的缺陷進行了總結(jié)，對未來的工作做出了展望，并且針對現(xiàn)有的缺陷提出了相應的改進措施和建議，包括：(1)完善驅(qū)動程序的審核制度；（2)加強代碼簽名機制的驗證