JoWa Posted August 16, 2009 Posted August 16, 2009 Har noterat att Windows inte visar fliken Digitala signaturer för alla signerade filer. Det kan vara .exe, .dll och .sys. Att filerna är signerade kan verifieras med t.ex. Process Explorer och Enhetshanteraren. Hittills har jag sett detta för filer signerade av Microsoft Windows Component Publisher och Microsoft Windows Hardware Compatibility Publisher. Exempel: Microsoft Windows Component Publisher Microsoft Windows Hardware Compatibility Publisher Har någon en fiffig förklaring till hur detta kan komma sig? Är det lika Vista och 7? Quote
e-son Posted August 16, 2009 Posted August 16, 2009 Har någon en fiffig förklaring till hur detta kan komma sig? Är det lika Vista och 7? Någon förklaring har jag inte, men det är samma i Vista/W7! Quote
JoWa Posted August 16, 2009 Author Posted August 16, 2009 Testade att öppna ati2evxx.exe och notepad.exe inifrån Internet Explorer 8. Däremot har jag Microsoft Windows Component Publisher och Microsoft Windows Hardware Compatibility Publisher i Mina betrodda programutgivare i Comodo Internet Security, och försöker jag att lägga till dem igen, genom att markera ati2evxx.exe och notepad.exe, får jag nedanstående meddelande: Om filerna inte vore signerade, skulle jag få ett annat meddelande: Inte har det klarnat mycket efter dessa kontroller. Quote
Opptokoppter Posted August 16, 2009 Posted August 16, 2009 Precis...och detta är ju en av anledningarna till varför vissa systemfiler och ursprungliga program från Windows, i många fall hamnar i karantänen/blir omskrivna eller t.om borttagna av våra Antivirusprogram. Med det olyckliga resultatet att många användares datorer till slut inte vill fungera! En gammal kvarlämning ifrån äldre Windows dagar som det är hög tid för Microsoft att börja titta närmare på. Man bör göra signeringen tydligare så att det inte råder något tvivel om att specifika filer och program som t.ex Notepad.exe tillhör Windows egna. Quote
JoWa Posted August 18, 2009 Author Posted August 18, 2009 Kollade ati2evxx.exe och notepad.exe med Trust Validation Utility (chktrust.exe) 4.70.1137: Quote
JoWa Posted August 18, 2009 Author Posted August 18, 2009 Öppnade ati2evxx.exe och notepad.exe med 7-Zip, och konstaterade att filen CERTIFICATE inte finns i dessa programfiler. Vad är det då t.ex. Process Explorer verifierar? Quote
Opptokoppter Posted August 19, 2009 Posted August 19, 2009 Måste ju isåfall vara enskilda koder inbakade i processerna som programmet läser av. Föjande finns att läsa i hjälpfilen som berör verifiering i Process Explorer. The Process View Image: This page shows version information extracted from the process' image file, the full path of the image file and the command-line that launched the process. It also shows the current directory of the process, the user account in which the process is running, the name of the process' parent process, and the time at which the process started execution. Process Explorer checks for whether or not an image has been digitally signed by a certificate root authority trusted by the computer and displays the status of the check, which is either "Trusted" (signed), "Unsigned", or "Not Verified" (signature has not been checked). You can press the Verify button to have Process Explorer check the signature of an image that has not been verified. Note that the verification operation can result in Process Explorer contacting web sites to check for certificate validity. See the Verify Image Signatures option. Enter a comment for a process in the Comment field. Comments are visible in the process view in the Comment column, or if you do not have the comment column selected, in the tool tip that displays when you hover the mouse over a process. Comments apply to all processes with the same path and are remembered from execution to execution. On systems that support Data Execution Protection (DEP), Process Explorer shows the DEP status of the selected process as either "on" or "off". Software DEP is currently supported by Windows XP SP2 and higher on 32-bit x86 systems whereas hardware DEP is available only on 64-bit versions of Windows. You can also view DEP status by adding the corresponding DEP Status column to the process view. Malware, including viruses, spyware, and adware is often stored in a packed encrypted form on disk in order to attempt to hide the code it contains from antispyware and antivirus. Process Explorer uses a heuristic to determine if an image is packed and if it is changes the text above the full path display field to include "(Image is probably packed)". The DLL view: Image: This page shows version information extracted from the image file and the full path of the image file. Process Explorer checks for whether or not an image has been digitally signed by a certificate root authority trusted by the computer and displays the status of the check, which is either "Trusted" (signed), "Unsigned", or "Not Verified" (signature has not been checked). You can press the Verify button to have Process Explorer check the signature of an image that has not been verified. Note that the verification operation can result in Process Explorer contacting web sites to check for certificate validity. See the Verify Image Signatures option. Malware, including viruses, spyware, and adware is often stored in a packed encrypted form on disk in order to attempt to hide the code it contains from antispyware and antivirus. Process Explorer uses a heuristic to determine if an image is packed and if it is changes the text above the full path display field to include "(Image is probably packed)". Länk till Sysinternals forum-> http://forum.sysinternals.com/forum_topics.asp?FID=2 Quote
JoWa Posted August 19, 2009 Author Posted August 19, 2009 Måste ju isåfall vara enskilda koder inbakade i processerna som programmet läser av. Innehåll i notepad.exe: Datum Tid Attribut Bytes Filnamn ---------- -------- ------ ---------------- -------- \notepad 2008-04-13 20:35:51 A----- 2 048 .data 2009-08-19 08:42:52 -D---- .rsrc 2008-04-13 20:35:51 A----- 30 720 .text ------------------- 32 768 2 Filer \notepad\.rsrc 2009-08-19 08:42:52 -D---- ACCELERATOR 2009-08-19 08:42:52 -D---- DIALOG 2009-08-19 08:42:52 -D---- GROUP_ICON 2009-08-19 08:42:52 -D---- ICON 2009-08-19 08:42:52 -D---- MANIFEST 2009-08-19 08:42:52 -D---- MENU 2009-08-19 08:42:52 -D---- STRING 2009-08-19 08:42:52 -D---- VERSION ------------------- 0 0 Filer notepad\.rsrc\ACCELERATOR 2008-04-14 21:35:16 A----- 136 MAINACC 2008-04-14 21:35:16 A----- 168 SLIPUPACC ------------------- 304 2 Filer \notepad\.rsrc\DIALOG 2008-04-14 21:35:16 A----- 220 11 2008-04-14 21:35:16 A----- 1 176 12 2008-04-14 21:35:16 A----- 224 14 2008-04-14 21:35:16 A----- 124 NPENCODINGDIALOG ------------------- 1 744 4 Filer \notepad\.rsrc\GROUP_ICON 2008-04-14 21:35:16 A----- 132 2 ------------------- 132 1 Filer \notepad\.rsrc\ICON 2008-04-14 21:35:16 A----- 1 662 1.ico 2008-04-14 21:35:16 A----- 766 2.ico 2008-04-14 21:35:16 A----- 318 3.ico 2008-04-14 21:35:16 A----- 3 774 4.ico 2008-04-14 21:35:16 A----- 2 238 5.ico 2008-04-14 21:35:16 A----- 1 406 6.ico 2008-04-14 21:35:16 A----- 9 662 7.ico 2008-04-14 21:35:16 A----- 4 286 8.ico 2008-04-14 21:35:16 A----- 1 150 9.ico ------------------- 25 262 9 Filer \notepad\.rsrc\MANIFEST 2008-04-14 21:35:16 A----- 670 1 ------------------- 670 1 Filer \notepad\.rsrc\MENU 2008-04-14 21:35:16 A----- 944 1 ------------------- 944 1 Filer \notepad\.rsrc\STRING 2008-04-14 21:35:16 A----- 2 240 1 2008-04-14 21:35:16 A----- 1 984 2 2008-04-14 21:35:16 A----- 316 3 2008-04-14 21:35:16 A----- 56 30 ------------------- 4 596 4 Filer \notepad\.rsrc\VERSION 2008-04-14 21:35:16 A----- 864 1 ------------------- 864 1 Filer Summa av \notepad Mappar = 10 Filer = 25 Bytes = 67 284 Har just sett ett exempel på motsatsen till det jag tidigare har tagit upp, d.v.s. en digitalt signerad fil som Process Explorer inte verifierar. Det förvånande är att det inte står (Unable to verify), som det annars står, då signaturen inte kan verifieras. Att QtWeb.exe är packad skall inte vara avgörande. Också cfp.exe är packad (enligt Process Explorer), men kan verifieras. Quote
JoWa Posted November 18, 2009 Author Posted November 18, 2009 Har nu kommit en liten bit på vägen mot förståelse av detta. Programmet Verifiering av filsignatur (sigverif.exe), som ingår i Windows, hänvisar för filer signerade av Microsoft Windows Component Publisher till ”katalogen” NT5.cat, och för filer signerade av Microsoft Windows Hardware Compatibility Publisher till katalogen oem41.cat. Och då man öppnar dessa ”säkerhetskataloger”, finner man de båda signaturernas certifikat. Vore ju förträffligt om filegenskaper i Windows, Internet Explorer m.fl. kunde verifiera också dessa signaturer. Quote
Opptokoppter Posted November 18, 2009 Posted November 18, 2009 Har nu kommit en liten bit på vägen mot förståelse av detta. Programmet Verifiering av filsignatur (sigverif.exe), som ingår i Windows, hänvisar för filer signerade av Microsoft Windows Component Publisher till katalogen NT5.cat, och för filer signerade av Microsoft Windows Hardware Compatibility Publisher till katalogen oem41.cat. Och då man öppnar dessa säkerhetskataloger, finner man de båda signaturernas certifikat. Vore ju förträffligt om filegenskaper i Windows, Internet Explorer m.fl. kunde verifiera också dessa signaturer. Exakt, håller med dig JoWa Kul att du ruskade liv i denna tråden igen, verkligen ett intressant ämne! Till att börja med så gillar jag tanken om det hade varit möjligt & skapa en funktion likt fliken "Hashvärden" inne i filegenskaper där man lätt hade kunnat undersöka om filen eller programmet ".exe-filen" har en riktig signatur och kört referens ifrån dessa kattaloger som du nämner. Var inne & tittade lite i CatRoot mappen på min egen XP och hittade en massa olika förutom dessa två du tog upp här. Fanns bl.a en hel drös av säkerhetskattaloger tillhörande KB uppdateringar från MS iof. ej rellevant för sammanhanget dock. Själv är jag inte så uppdaterad på vad som finns att hitta bland dessa tilläggsprogram som går att koppla ihop med filegenskaper, kanske det rent av finns något färdigt någonstans på nätet som ett plugin eller så. I annat fall får vi väl göra en efterlysning, någon som vet? Provade också programmet sigverif.exe och körde en sökning, inte oväntat dyker Notepad.exe upp bland dem filer som saknar en digital signatur bland ett par andra. Lite konstigt eftersom den borde ha en signatur då den ingår i Windows. Quote
JoWa Posted November 18, 2009 Author Posted November 18, 2009 De flesta filer signerade av Microsoft Windows Component Publisher finns i NT5.cat, ett gäng finns i NT5INF.cat och några få i andra kataloger. För filer signerade av Microsoft Windows Hardware Compatibility Publisher finns signaturen i några kataloger, där endast siffrorna skiljer namnen åt (oemXX.cat). Märkligt att din notepad.exe visas som osignerad. Såhär ser det ut i min loggfil: notepad.exe 2008-04-14 2:5.1 Signerat NT5.CAT Microsoft Windows Component Publisher Min notepad.exe (filversion 5.1.2600.5512 (xpsp.080413-2105)) har SHA-1: 44AB2E4E9D9B0AC9AEF5C04E664FF124B583BB9F Quote
Opptokoppter Posted November 18, 2009 Posted November 18, 2009 Shysst Tackar så mycket för infon. När du säger de så började jag misstänka att de kan bero på att Comodo för ett tag sedan (någon gång i sommras) la beslag på programfilen och därefter försvann den av ett misstag då CIS installerades om. Blev sedan tvungen & packa upp en ny ifrån XP skivan med Sp2... Så nu ser uppgift. lite annorlunda ut jämfört med den versionen du har. 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Sha-1: 2DC42CFF3A274556DF078B185B7E1EEDB77DE98B Den blev nog aldrig registrerad in i systemet då den klistrades in ifrån en annan plats. Enda förklaringen jag kan komma på just nu Quote
JoWa Posted November 18, 2009 Author Posted November 18, 2009 (edited) Aha. Bifogar en färsk version zippad. Skall ligga i C:\WINDOWS, C:\WINDOWS\system32 och C:\WINDOWS\system32\dllcache. Uppdatering: Bifogad fil borttagen. Edited November 19, 2009 by JoWa Quote
Opptokoppter Posted November 19, 2009 Posted November 19, 2009 Suveränt Tackar så mycket för filen, har nu kört en runda med verifieraren efter bytt ut alla Notepad.exe. Stötte på lite patrull i Windows mappen då man fick va snabbare än filskyddet som ville lösa ut men allt funkade bra till slut. Den dyker inte upp längre vid sökning och signeringen tycks nu fungera igen. Förhoppningsvis slipper man nu få upp den som riskfylld under virusscanning också. Alla tiders Quote
Opptokoppter Posted November 22, 2009 Posted November 22, 2009 De kom ett brev & damp ner i min brevlåda nyligen Hittade i en av länkarna denna information ifrån MSDN http://msdn.microsoft.com/en-us/magazine/dd890995.aspx Beskriver lite om en Internationel standardisering som riktar sig till programtillverkare. Supported by the International Organization for Standardization (ISO) and the International Electrotechnical Commission (IEC), Common Criteria is a suite of methodologies designed to assess and certify the security capabilities of information technology products. Common Criteria security techniques are published in ISO/IEC standards 15408 and 18045. As of the publication date of this article, the Common Criteria security standard has been approved and adopted by 26 countries. You can find a list of Common Criteria members at http://www.commoncriteriaportal.org/members.html Finns alltså representanter runt om i världen som beslutar och sammarbetar om vilka direktiv som ska ligga fast i ämnet datasäkerhet och signerad programvara. I Sverige så ligger ansvaret hos CSEC, en del i Försvarets Materiel Verk (FMV). http://www.fmv.se/WmTemplates/Page.aspx?id=269 Verkar lovande Frågorna behöver inte ens skrivas på Engelska Quote
JoWa Posted December 10, 2009 Author Posted December 10, 2009 Kan lägga till signeraren Microsoft Windows. Exempel: mshta.exe (Microsoft ® HTML Application host), som har sin signatur i ie8.cat. Quote
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.