病毒木马感染文件造成数字签名异常-网马分析-福州电脑维修|上门维修维护|包年电脑维修|IT外包

病毒木马感染文件造成数字签名异常

通常，商业软件刊行时，为向用户证明该程序未经窜改，会在公布版本时利用数字签名。如下图：

图1　正常文件的数字签名
通常，当一个EXE被粉碎（如病毒熏染或被捆绑木马），数字签名信息会丧失，从文件属性中看会发明原来数字签名标签页缺失。
但现在发明部分木马传播者接纳了更奇妙的方式，一般大略检察文件属性时，会发明该EXE文件的数字签名看上去没有异常。如下图：

图2　病毒熏染后的EXE文件也能看到数字签名
要是不小心，就会以为这个EXE完全正常，但是这个文件曾经被捆绑了多个木马。在沙箱（sandboxie）中运转这个EXE，会发明该程序向windows\system32目次写入了4个dll文件，毒霸也会陈诉发明病毒。

图3　沙箱中可以看到执行该程序后病毒生成的DLL文件

图4　沙箱中执行病毒EXE时，毒霸会陈诉发明病毒
那我们该怎样区分此类打击呢？有两个要领：
1.检察数字签名的细致信息，在图1或图2中，我们应该检察该数字签名的细致信息，点击“细致信息”按钮即可。
我们会发明正常EXE和熏染（或捆绑木马）后的EXE数字签名的区别：

图5　正常EXE的数字签名细致信息

图6　被窜改后的EXE数字签名信息无效
2.利用数字签名验证程序sigcheck.exe （可以百度一下找这个东西，著名体系东西包Sysinternals Suite的组件之一，可以访问http://technet.microsoft.com/zh-cn/sysinternals/0e18b180-9b7a-4c49-8120-c47c5a693683(en-us).aspx下载。）
数字签名异常的结果为：
C:\Documents and Settings\litiejun\??\modify.exe:
Verified:       Unsigned
File date:      15:46 2008-5-23
Publisher:      n/a
Description:    n/a
Product:        n/a
Version:        n/a
File version:   n/a
数字签名正常的结果为：
C:\Documents and Settings\litiejun\??\che.exe:
Verified:       Signed
Signing date:   16:28 2008-4-29
Publisher:      n/a
Description:    n/a
Product:        n/a
Version:        n/a
File version:   n/a
缘故原由阐发：
1，精心设计的熏染
当EXE被熏染时，是很容易粉碎文件的数字签名信息的，要是打击者熏染或粉碎文件时，有意不去粉碎EXE中有关数字签名的部分，就大概出现熏染后，数字签名看上去正常的环境。但认真检察文件属性或校验文件的HASH值，你会发明该EXE程序曾经不是最原始的版本了。
2.该软件刊行商的数字签名文件被盗，打击者可以把捆绑木马或熏染病毒后的EXE程序，也打包上数字签名，这种环境下就更严重了。企业要是请求了数字签名证书，一定要妥善保管，不然后患无穷。
推荐实验利用金山毒霸在线宁静诊断技术，利用其会联机阐发相干程序的数字签名，不会被冒充或通不过校验看起来正常的数字签名诱骗，会给用户前往正确的诊断结果。