Windows代碼簽名機(jī)制缺陷研究與分析.pdf

1、代碼簽名是對(duì)可執(zhí)行文件和腳本進(jìn)行數(shù)字簽名的過(guò)程，這個(gè)過(guò)程可以確認(rèn)軟件的來(lái)源并且能夠保證軟件中的代碼在簽名者使用其私鑰進(jìn)行簽名之后沒有被篡改。Windows操作系統(tǒng)的代碼簽名機(jī)制可以對(duì)可執(zhí)行文件中的數(shù)字簽名合法性進(jìn)行驗(yàn)證，識(shí)別出非法的或沒有簽名的程序。操作系統(tǒng)根據(jù)該機(jī)制來(lái)決定是否加載和運(yùn)行可執(zhí)行文件，從而可以防止惡意程序的執(zhí)行以及對(duì)操作系統(tǒng)的破壞。
　　本文首先對(duì)代碼安全分析技術(shù)進(jìn)行了簡(jiǎn)要的介紹，包括了數(shù)字簽名技術(shù)、P E文件、微軟

2、Authenticode技術(shù)、驅(qū)動(dòng)程序以及軟件逆向工程技術(shù)。然后結(jié)合對(duì)Windows代碼簽名驗(yàn)證機(jī)制外部表現(xiàn)和內(nèi)部機(jī)理的分析，分別從該機(jī)制內(nèi)部的安全性問(wèn)題以及代碼簽名機(jī)制外部的繞過(guò)方法兩個(gè)方面對(duì)代碼簽名機(jī)制存在的缺陷進(jìn)行了研究與分析。
　　在代碼簽名機(jī)制內(nèi)部安全性方面，該機(jī)制存在兩個(gè)問(wèn)題：(1)PE文件結(jié)構(gòu)上存在脆弱性。通過(guò)對(duì)P E文件進(jìn)行二進(jìn)制數(shù)據(jù)填充或是對(duì)PE文件結(jié)構(gòu)進(jìn)行重組，可以在不破壞PE文件合法數(shù)字簽名的情況下對(duì)PE文件

3、進(jìn)行修改；(2)Windows7和Windows8分別存在相應(yīng)的脫機(jī)關(guān)閉代碼簽名機(jī)制的方法。在代碼簽名機(jī)制外部繞過(guò)方法中，主要從兩個(gè)方面對(duì)其缺陷進(jìn)行了介紹：（1)攻擊者可以通過(guò)驅(qū)動(dòng)程序中存在的漏洞進(jìn)入內(nèi)核態(tài)關(guān)閉代碼簽名機(jī)制；（2)通過(guò)MD5散列值碰撞可以偽造數(shù)字簽名或數(shù)字證書，從而繞過(guò)代碼簽名機(jī)制的檢查。在第一個(gè)部分中，分別針對(duì)Windows7和Windows8介紹了兩種不同驅(qū)動(dòng)程序漏洞的利用方法，并且通過(guò)注入ShellCode以及構(gòu)造

4、R O P鏈實(shí)現(xiàn)了進(jìn)入內(nèi)核態(tài)關(guān)閉代碼簽名機(jī)制，并列舉了實(shí)例。在第二個(gè)部分中，利用“選擇性前綴MD5碰撞”方法，可以針對(duì)可執(zhí)行文件和數(shù)字證書計(jì)算相應(yīng)的填充數(shù)據(jù)，制造出MD5碰撞，從而可以偽造可執(zhí)行文件的數(shù)字簽名或簽名用到的數(shù)字證書，繞過(guò)代碼簽名機(jī)制的檢查。
　　最后，本文對(duì)該機(jī)制現(xiàn)有的缺陷進(jìn)行了總結(jié)，對(duì)未來(lái)的工作做出了展望，并且針對(duì)現(xiàn)有的缺陷提出了相應(yīng)的改進(jìn)措施和建議，包括：(1)完善驅(qū)動(dòng)程序的審核制度；（2)加強(qiáng)代碼簽名機(jī)制的驗(yàn)證