wie Signatur/Certific. von EXE auslesen (wie sigcheck.exe)

**TKC**

naj .. sigcheck läuft auf allen NT Systemen ...

Statisch bindet das Programm nicht viel ein .. es wird alles Dynamisch nachgeladen ...
habe trotzdem mal nen Dump gemacht..

zusammenfalten · markieren

Delphi-Quellcode:

			Executable modules

Base       Size       Entry      Name       File version      Path

00400000   00011000   0040317A   sigcheck   1.10              D:\Daten\Software\Systemtools\Sysinternals\sigcheck.exe

74F90000   00008000   74F911AE   WS2HELP    5.00.2134.1       C:\WINNT\system32\WS2HELP.DLL

74FA0000   00014000   74FA1C85   WS2_32     5.00.2195.6601    C:\WINNT\system32\WS2_32.DLL

74FC0000   00009000              WSOCK32    5.00.2195.6603    C:\WINNT\system32\WSOCK32.DLL

750C0000   0000F000   750C10D4   SAMLIB     5.00.2195.6897    C:\WINNT\system32\SAMLIB.dll

750E0000   0004F000   750EE53B   netapi32   5.00.2195.6949    C:\WINNT\system32\netapi32.dll

75130000   00006000              NETRAP     5.00.2134.1       C:\WINNT\system32\NETRAP.dll

75940000   00006000   75941A6A   LZ32       5.00.2195.6611    C:\WINNT\system32\LZ32.DLL

76080000   00050000   760BB257   WINHTTP    5.1.2600.1327 (x  C:\WINNT\system32\WINHTTP.DLL

768D0000   0002B000   768F3440   Wintrust   5.131.2195.6824   C:\WINNT\system32\Wintrust.dll

772A0000   00069000   772A6271   SHLWAPI    6.00.2800.1584 (  C:\WINNT\system32\SHLWAPI.dll

77400000   00010000   77408C6C   MSASN1     5.00.2195.6905    C:\WINNT\system32\MSASN1.DLL

77810000   00007000   77811334   VERSION    5.00.2195.6623    C:\WINNT\system32\VERSION.dll

77880000   00083000              ntdll      5.00.2195.6899    C:\WINNT\system32\ntdll.dll

77910000   00023000   77911158   IMAGEHLP   5.00.2195.6613    C:\WINNT\system32\IMAGEHLP.dll

77940000   0002B000   779410C0   WLDAP32    5.00.2195.6666    C:\WINNT\system32\WLDAP32.DLL

77970000   00024000   779712C2   DNSAPI     5.00.2195.6824    C:\WINNT\system32\DNSAPI.DLL

779A0000   0009B000   77A14030   OLEAUT32   2.40.4522         C:\WINNT\system32\OLEAUT32.dll

77A40000   000EF000   77A5B5CC   ole32      5.00.2195.6906    C:\WINNT\system32\ole32.dll

77BE0000   00011000   77BE3FF0   NTDSAPI    5.00.2195.6666    C:\WINNT\system32\NTDSAPI.dll

77D20000   00071000   77D23E30   RPCRT4     5.00.2195.6904    C:\WINNT\system32\RPCRT4.dll

77E00000   0005F000   77E0DF34   USER32     5.00.2195.7017    C:\WINNT\system32\USER32.dll

77E70000   000C0000   77E77A40   KERNEL32   5.00.2195.6946    C:\WINNT\system32\KERNEL32.DLL

77F40000   0003B000              GDI32      5.00.2195.6945    C:\WINNT\system32\GDI32.dll

78000000   00045000   78001000   MSVCRT     6.10.9844.0       C:\WINNT\system32\MSVCRT.dll

791A0000   00062000   791EB67A   USERENV    5.00.2195.6794    C:\WINNT\system32\USERENV.dll

79350000   00062000   79351ECE   ADVAPI32   5.00.2195.6876    C:\WINNT\system32\ADVAPI32.DLL

79430000   0000F000   79432B19   secur32    5.00.2195.6695    C:\WINNT\system32\secur32.dll

79990000   00012000   7999135C   cryptnet   5.131.2195.6824   C:\WINNT\system32\cryptnet.dll

799D0000   00087000   799D14C4   CRYPT32    5.131.2195.6824   C:\WINNT\system32\CRYPT32.dll

7CA00000   00023000   7CA0D3BA   rsaenh     5.00.2195.6611    C:\WINNT\system32\rsaenh.dll

bin jetzt am Analysieren , mal sehen ob ich da weiter komme.

**TKC**

sooo .... hab jetzt mal bisl spioniert wie sigcheck da vorgeht ...

zusammenfalten · markieren

Delphi-Quellcode:

			Wintrust.CryptCATAdminAcquireContext

/hTemplateFile

|Attributes = NORMAL

|Mode = OPEN_EXISTING

|pSecurity = NULL

|ShareMode = FILE_SHARE_READ

|Access = GENERIC_READ

|FileName

\CreateFileW

Wintrust.CryptCATAdminCalcHashFromFileHandle

Wintrust.CryptCATAdminEnumCatalogFromHash

Wintrust.CryptCATCatalogInfoFromContext

("C:\WINNT\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\sp4.cat" für Explorer.exe)

Wintrust.WinVerifyTrust

Wintrust.CryptCATAdminReleaseCatalogContext

Werde nun mal den Versuch starten das im Delphi nachzubauen ..

**TKC**

so .... nach nen paar Tagen coden und debuggen hab ichs geschafft .... es funktioniert

ich poste den Quellcode sobald ich ihn etwas aufgeräumt und dokumentiert habe ...

wenns jemanden interessiert.

**TKC**

so... ich habe die Unit in die Code Lib gepostet ...

danke für die minimale Hilfe.

**Kedariodakon**

hmm was bringt einem das?
Wie kann ich nun selber programme signieren oder eine signatur einer exe hinzufügen?

Bye

**TKC**

du kannst damit prüfen ob eine Date eine Signatur enthält und ob sie gültig ist.

Das kann man z.B. für einen Dateiscanner nutzen ... um nur unsignierte Dateien anzuzeigen.

Oder um Einträge in einer Autorun Liste zu prüfen .... usw.

**Kedariodakon**

Ok und wie signiere ich meine Datein?

Bye

**Vjay**

Bei div. von Microsoft authorisierten Partnern. A la Verisign gegen eine absolut minimale Gebühr.

Ich kenn die Gebühr zwar nicht, aber auch wenn sie wirklich minimal sein sollte, wird sich das bei entsprechender Nutzung garantiert ändern.

**TKC**

Da meine Unit in der Code Lib einfach gelöscht wurde poste ich sie eben hier noch mal

Updates:
- einige Bugs gefixt
- Speicherleaks beseitigt

Als Anlage die neue Unit und ein kleines Beispiel Programm (setze ich täglich ein)

Sollte

markieren

Code:

			  CATALOG_INFO = record

    cbStruct: DWORD;                              // = sizeof(WINTRUST_CATALOG_INFO)

    sCatalogFile: array[[color=red]0..MAX_PATH[/color]] of WCHAR;    // Dateiname incl. Pfad zur CAT Datei

  end;

  PCATALOG_INFO = ^CATALOG_INFO;

nicht so

markieren

Code:

			type

  PCatalogInfo = ^TCatalogInfo;

  PCATALOG_INFO = PCatalogInfo;

  {$EXTERNALSYM PCATALOG_INFO}

  CATALOG_INFO_ = record

    cbStruct      : DWORD;                           // = SizeOf(TCatalogInfo) 

    wszCatalogFile: array [[color=green]0..MAX_PATH-1[/color]] of WCHAR;  // Name of the catalog file.

  end;

  {$EXTERNALSYM CATALOG_INFO_}

  TCatalogInfo = CATALOG_INFO_;

  CATALOG_INFO = CATALOG_INFO_;

  {$EXTERNALSYM CATALOG_INFO}

aussehen?

Gruß Nico

Themen-Optionen	Thema durchsuchen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen	Thema durchsuchen: Erweiterte Suche
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

wie Signatur/Certific. von EXE auslesen (wie sigcheck.exe)

Re: wie Signatur/Certific. von EXE auslesen (wie sigcheck.ex

Re: wie Signatur/Certific. von EXE auslesen (wie sigcheck.ex

Re: wie Signatur/Certific. von EXE auslesen (wie sigcheck.ex

Re: wie Signatur/Certific. von EXE auslesen (wie sigcheck.ex

Re: wie Signatur/Certific. von EXE auslesen (wie sigcheck.ex

Re: wie Signatur/Certific. von EXE auslesen (wie sigcheck.ex

Re: wie Signatur/Certific. von EXE auslesen (wie sigcheck.ex

Re: wie Signatur/Certific. von EXE auslesen (wie sigcheck.ex

Re: wie Signatur/Certific. von EXE auslesen (wie sigcheck.ex

Re: wie Signatur/Certific. von EXE auslesen (wie sigcheck.ex

Forumregeln

TKC Registriert seit: 21. Apr 2004 Ort: Tuningen 367 Beiträge Delphi XE2 Enterprise	#13 Re: wie Signatur/Certific. von EXE auslesen (wie sigcheck.ex 21. Feb 2005, 19:51 so .... nach nen paar Tagen coden und debuggen hab ichs geschafft .... es funktioniert ich poste den Quellcode sobald ich ihn etwas aufgeräumt und dokumentiert habe ... wenns jemanden interessiert.
	Zitat

TKC Registriert seit: 21. Apr 2004 Ort: Tuningen 367 Beiträge Delphi XE2 Enterprise	#14 Re: wie Signatur/Certific. von EXE auslesen (wie sigcheck.ex 3. Mär 2005, 12:24 so... ich habe die Unit in die Code Lib gepostet ... danke für die minimale Hilfe.
	Zitat

Kedariodakon Registriert seit: 10. Sep 2004 Ort: Mönchengladbach 833 Beiträge Delphi 7 Enterprise	#15 Re: wie Signatur/Certific. von EXE auslesen (wie sigcheck.ex 3. Mär 2005, 12:39 hmm was bringt einem das? Wie kann ich nun selber programme signieren oder eine signatur einer exe hinzufügen? Bye Christian
	Zitat

TKC Registriert seit: 21. Apr 2004 Ort: Tuningen 367 Beiträge Delphi XE2 Enterprise	#16 Re: wie Signatur/Certific. von EXE auslesen (wie sigcheck.ex 3. Mär 2005, 20:10 du kannst damit prüfen ob eine Date eine Signatur enthält und ob sie gültig ist. Das kann man z.B. für einen Dateiscanner nutzen ... um nur unsignierte Dateien anzuzeigen. Oder um Einträge in einer Autorun Liste zu prüfen .... usw.
	Zitat

Kedariodakon Registriert seit: 10. Sep 2004 Ort: Mönchengladbach 833 Beiträge Delphi 7 Enterprise	#17 Re: wie Signatur/Certific. von EXE auslesen (wie sigcheck.ex 4. Mär 2005, 08:30 Ok und wie signiere ich meine Datein? Bye Christian
	Zitat

Vjay Registriert seit: 2. Dez 2003 Ort: Berlin/Eschede 481 Beiträge Delphi 7 Professional	#18 Re: wie Signatur/Certific. von EXE auslesen (wie sigcheck.ex 4. Mär 2005, 13:21 Bei div. von Microsoft authorisierten Partnern. A la Verisign gegen eine absolut minimale Gebühr. Ich kenn die Gebühr zwar nicht, aber auch wenn sie wirklich minimal sein sollte, wird sich das bei entsprechender Nutzung garantiert ändern. Wer später bremst ist eher tot.
	Zitat