Jump to content

Windows visar inte alla signaturer


JoWa

Recommended Posts

Har noterat att Windows inte visar fliken Digitala signaturer för alla signerade filer. Det kan vara .exe, .dll och .sys. Att filerna är signerade kan verifieras med t.ex. Process Explorer och Enhetshanteraren.

Hittills har jag sett detta för filer signerade av Microsoft Windows Component Publisher och Microsoft Windows Hardware Compatibility Publisher.

Exempel:

Microsoft Windows Component Publisher

OsgszLzWa.png

jXUWXbvdZ.png

Microsoft Windows Hardware Compatibility Publisher

ZKKEqbmwc.png

zRtwUUjmP.png

mPlUqeThv.png

CzXeLeyfN.png

EKOBWbVmn.png

lerWweDvE.png

Har någon en fiffig förklaring till hur detta kan komma sig? Är det lika Vista och 7? :unsure:

Link to comment
Share on other sites

Testade att öppna ati2evxx.exe och notepad.exe inifrån Internet Explorer 8. :unsure:

xwrcUyOvj.png

EILIiVSGf.png

Däremot har jag Microsoft Windows Component Publisher och Microsoft Windows Hardware Compatibility Publisher i Mina betrodda programutgivare i Comodo Internet Security, och försöker jag att lägga till dem igen, genom att markera ati2evxx.exe och notepad.exe, får jag nedanstående meddelande:

OORdwFhqz.png

ENcbTnTMi.png

Om filerna inte vore signerade, skulle jag få ett annat meddelande:

qzgDDtZZy.png

Inte har det klarnat mycket efter dessa kontroller. :blink:

Link to comment
Share on other sites

Precis...och detta är ju en av anledningarna till varför vissa systemfiler och ursprungliga program från Windows, i många fall hamnar i karantänen/blir omskrivna eller t.om borttagna av våra Antivirusprogram.

Med det olyckliga resultatet att många användares datorer till slut inte vill fungera!

En gammal kvarlämning ifrån äldre Windows dagar som det är hög tid för Microsoft att börja titta närmare på.

Man bör göra signeringen tydligare så att det inte råder något tvivel om att specifika filer och program som t.ex Notepad.exe tillhör Windows egna.

Link to comment
Share on other sites

Måste ju isåfall vara enskilda koder inbakade i processerna som programmet läser av.

Föjande finns att läsa i hjälpfilen som berör verifiering i Process Explorer.

The Process View

Image:

This page shows version information extracted from the process' image file, the full path of the image file and the command-line that launched the process. It also shows the current directory of the process, the user account in which the process is running, the name of the process' parent process, and the time at which the process started execution.

Process Explorer checks for whether or not an image has been digitally signed by a certificate root authority trusted by the computer and displays the status of the check, which is either "Trusted" (signed), "Unsigned", or "Not Verified" (signature has not been checked). You can press the Verify button to have Process Explorer check the signature of an image that has not been verified. Note that the verification operation can result in Process Explorer contacting web sites to check for certificate validity. See the Verify Image Signatures option.

Enter a comment for a process in the Comment field. Comments are visible in the process view in the Comment column, or if you do not have the comment column selected, in the tool tip that displays when you hover the mouse over a process. Comments apply to all processes with the same path and are remembered from execution to execution.

On systems that support Data Execution Protection (DEP), Process Explorer shows the DEP status of the selected process as either "on" or "off". Software DEP is currently supported by Windows XP SP2 and higher on 32-bit x86 systems whereas hardware DEP is available only on 64-bit versions of Windows. You can also view DEP status by adding the corresponding DEP Status column to the process view.

Malware, including viruses, spyware, and adware is often stored in a packed encrypted form on disk in order to attempt to hide the code it contains from antispyware and antivirus. Process Explorer uses a heuristic to determine if an image is packed and if it is changes the text above the full path display field to include "(Image is probably packed)".

The DLL view:

Image:

This page shows version information extracted from the image file and the full path of the image file.

Process Explorer checks for whether or not an image has been digitally signed by a certificate root authority trusted by the computer and displays the status of the check, which is either "Trusted" (signed), "Unsigned", or "Not Verified" (signature has not been checked). You can press the Verify button to have Process Explorer check the signature of an image that has not been verified. Note that the verification operation can result in Process Explorer contacting web sites to check for certificate validity. See the Verify Image Signatures option.

Malware, including viruses, spyware, and adware is often stored in a packed encrypted form on disk in order to attempt to hide the code it contains from antispyware and antivirus. Process Explorer uses a heuristic to determine if an image is packed and if it is changes the text above the full path display field to include "(Image is probably packed)".

Länk till Sysinternals forum-> http://forum.sysinternals.com/forum_topics.asp?FID=2

Link to comment
Share on other sites

Måste ju isåfall vara enskilda koder inbakade i processerna som programmet läser av.

:unsure:

Innehåll i notepad.exe:

Datum	  Tid	   Attribut	 Bytes		  Filnamn
---------- -------- ------   ----------------  --------

\notepad
2008-04-13 20:35:51 A-----			  2 048  .data
2009-08-19 08:42:52 -D----					 .rsrc
2008-04-13 20:35:51 A-----			 30 720  .text
					  -------------------  
								   32 768  2 Filer

\notepad\.rsrc
2009-08-19 08:42:52 -D----					 ACCELERATOR
2009-08-19 08:42:52 -D----					 DIALOG
2009-08-19 08:42:52 -D----					 GROUP_ICON
2009-08-19 08:42:52 -D----					 ICON
2009-08-19 08:42:52 -D----					 MANIFEST
2009-08-19 08:42:52 -D----					 MENU
2009-08-19 08:42:52 -D----					 STRING
2009-08-19 08:42:52 -D----					 VERSION
					  -------------------  
										0  0 Filer

notepad\.rsrc\ACCELERATOR
2008-04-14 21:35:16 A-----				136  MAINACC
2008-04-14 21:35:16 A-----				168  SLIPUPACC
					  -------------------  
									  304  2 Filer

\notepad\.rsrc\DIALOG
2008-04-14 21:35:16 A-----				220  11
2008-04-14 21:35:16 A-----			  1 176  12
2008-04-14 21:35:16 A-----				224  14
2008-04-14 21:35:16 A-----				124  NPENCODINGDIALOG
					  -------------------  
									1 744  4 Filer

\notepad\.rsrc\GROUP_ICON
2008-04-14 21:35:16 A-----				132  2
					  -------------------  
									  132  1 Filer

\notepad\.rsrc\ICON
2008-04-14 21:35:16 A-----			  1 662  1.ico
2008-04-14 21:35:16 A-----				766  2.ico
2008-04-14 21:35:16 A-----				318  3.ico
2008-04-14 21:35:16 A-----			  3 774  4.ico
2008-04-14 21:35:16 A-----			  2 238  5.ico
2008-04-14 21:35:16 A-----			  1 406  6.ico
2008-04-14 21:35:16 A-----			  9 662  7.ico
2008-04-14 21:35:16 A-----			  4 286  8.ico
2008-04-14 21:35:16 A-----			  1 150  9.ico
					  -------------------  
								   25 262  9 Filer

\notepad\.rsrc\MANIFEST
2008-04-14 21:35:16 A-----				670  1
					  -------------------  
									  670  1 Filer

\notepad\.rsrc\MENU
2008-04-14 21:35:16 A-----				944  1
					  -------------------  
									  944  1 Filer

\notepad\.rsrc\STRING
2008-04-14 21:35:16 A-----			  2 240  1
2008-04-14 21:35:16 A-----			  1 984  2
2008-04-14 21:35:16 A-----				316  3
2008-04-14 21:35:16 A-----				 56  30
					  -------------------  
									4 596  4 Filer

\notepad\.rsrc\VERSION
2008-04-14 21:35:16 A-----				864  1
					  -------------------  
									  864  1 Filer

Summa av \notepad
 Mappar	  =				 10
 Filer	   =				 25
 Bytes	   =			 67 284

Har just sett ett exempel på motsatsen till det jag tidigare har tagit upp, d.v.s. en digitalt signerad fil som Process Explorer inte verifierar.

SDQmrdWJc.png

mjHPRDTDT.png

Det förvånande är att det inte står (Unable to verify), som det annars står, då signaturen inte kan verifieras. Att QtWeb.exe är packad skall inte vara avgörande. Också cfp.exe är packad (enligt Process Explorer), men kan verifieras.

Link to comment
Share on other sites

  • 2 months later...

Har nu kommit en liten bit på vägen mot förståelse av detta. Programmet Verifiering av filsignatur (sigverif.exe), som ingår i Windows, hänvisar för filer signerade av Microsoft Windows Component Publisher till ”katalogen” NT5.cat, och för filer signerade av Microsoft Windows Hardware Compatibility Publisher till katalogen oem41.cat. Och då man öppnar dessa ”säkerhetskataloger”, finner man de båda signaturernas certifikat.

oWMteDFFF.png

Vore ju förträffligt om filegenskaper i Windows, Internet Explorer m.fl. kunde verifiera också dessa signaturer.

Link to comment
Share on other sites

Har nu kommit en liten bit på vägen mot förståelse av detta. Programmet Verifiering av filsignatur (sigverif.exe), som ingår i Windows, hänvisar för filer signerade av Microsoft Windows Component Publisher till katalogen NT5.cat, och för filer signerade av Microsoft Windows Hardware Compatibility Publisher till katalogen oem41.cat. Och då man öppnar dessa säkerhetskataloger, finner man de båda signaturernas certifikat.

Vore ju förträffligt om filegenskaper i Windows, Internet Explorer m.fl. kunde verifiera också dessa signaturer.

Exakt, håller med dig JoWa :)

Kul att du ruskade liv i denna tråden igen, verkligen ett intressant ämne!

Till att börja med så gillar jag tanken om det hade varit möjligt & skapa en funktion likt fliken "Hashvärden" inne i filegenskaper där man lätt hade kunnat undersöka om filen eller programmet ".exe-filen" har en riktig signatur och kört referens ifrån dessa kattaloger som du nämner. Var inne & tittade lite i CatRoot mappen på min egen XP och hittade en massa olika förutom dessa två du tog upp här. Fanns bl.a en hel drös av säkerhetskattaloger tillhörande KB uppdateringar från MS iof. ej rellevant för sammanhanget dock. Själv är jag inte så uppdaterad på vad som finns att hitta bland dessa tilläggsprogram som går att koppla ihop med filegenskaper, kanske det rent av finns något färdigt någonstans på nätet som ett plugin eller så.

I annat fall får vi väl göra en efterlysning, någon som vet?

Provade också programmet sigverif.exe och körde en sökning, inte oväntat dyker Notepad.exe upp bland dem filer som saknar en digital signatur bland ett par andra.

Lite konstigt eftersom den borde ha en signatur då den ingår i Windows.

post-10854-1258549095,4_thumb.png

Link to comment
Share on other sites

De flesta filer signerade av Microsoft Windows Component Publisher finns i NT5.cat, ett gäng finns i NT5INF.cat och några få i andra kataloger. För filer signerade av Microsoft Windows Hardware Compatibility Publisher finns signaturen i några kataloger, där endast siffrorna skiljer namnen åt (oemXX.cat).

Märkligt att din notepad.exe visas som osignerad. Såhär ser det ut i min loggfil:

notepad.exe 2008-04-14 2:5.1 Signerat NT5.CAT Microsoft Windows Component Publisher

Min notepad.exe (filversion 5.1.2600.5512 (xpsp.080413-2105)) har SHA-1: 44AB2E4E9D9B0AC9AEF5C04E664FF124B583BB9F

Link to comment
Share on other sites

Shysst :) Tackar så mycket för infon.

När du säger de så började jag misstänka att de kan bero på att Comodo för ett tag sedan (någon gång i sommras) la beslag på programfilen och därefter försvann den av ett misstag då CIS installerades om.

Blev sedan tvungen & packa upp en ny ifrån XP skivan med Sp2...

Så nu ser uppgift. lite annorlunda ut jämfört med den versionen du har.

5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)

Sha-1: 2DC42CFF3A274556DF078B185B7E1EEDB77DE98B

Den blev nog aldrig registrerad in i systemet då den klistrades in ifrån en annan plats.

Enda förklaringen jag kan komma på just nu :)

Link to comment
Share on other sites

Suveränt :)

Tackar så mycket för filen, har nu kört en runda med verifieraren efter bytt ut alla Notepad.exe. Stötte på lite patrull i Windows mappen då man fick va snabbare än filskyddet som ville lösa ut men allt funkade bra till slut.

Den dyker inte upp längre vid sökning och signeringen tycks nu fungera igen.

Förhoppningsvis slipper man nu få upp den som riskfylld under virusscanning också.

Alla tiders :lol:

Link to comment
Share on other sites

De kom ett brev & damp ner i min brevlåda nyligen :)

Hittade i en av länkarna denna information ifrån MSDN

http://msdn.microsoft.com/en-us/magazine/dd890995.aspx

Beskriver lite om en Internationel standardisering som riktar sig till programtillverkare.

Supported by the International Organization for Standardization (ISO) and the International Electrotechnical Commission (IEC), Common Criteria is a suite of methodologies designed to assess and certify the security capabilities of information technology products. Common Criteria security techniques are published in ISO/IEC standards 15408 and 18045.

As of the publication date of this article, the Common Criteria security standard has been approved and adopted by 26 countries. You can find a list of Common Criteria members at http://www.commoncriteriaportal.org/members.html

Finns alltså representanter runt om i världen som beslutar och sammarbetar om vilka direktiv som ska ligga fast i ämnet datasäkerhet och signerad programvara.

I Sverige så ligger ansvaret hos CSEC, en del i Försvarets Materiel Verk (FMV).

http://www.fmv.se/WmTemplates/Page.aspx?id=269

Verkar lovande :) Frågorna behöver inte ens skrivas på Engelska

Link to comment
Share on other sites

  • 3 weeks later...

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...