Re: Eigene Anwendungen digital signieren - eine Mini-Einführ
 

Hallo,

ich habe da mal eine Frage am Rande zu diesem Thema. Wenn ich nur original Programme einsetze die ein digitales Zertifikat besitzen, brauche ich dann noch einen Virenscanner? Weil ich, so habe ich das hier in diesem Beitrag verstanden, ja zweifelsfrei feststellen kann wer der Verursacher für evt. Schäden ist.

Bis bald Chemiker

Re: Eigene Anwendungen digital signieren - eine Mini-Einführ
 

Natürlich brauchst Du noch einen Virenscanner.

1. Wenn ein Programm digital signiert ist, garantiert dir das noch lange nicht, dass das Programm keinen Müll macht. Das entspricht eher so dem KFZ-Kennzeichen beim Auto (ohne TÜV!). Wenn Du feststellen solltest, dass das Programm fragwürdige Sachen macht (z.B. weil Dein Virenscanner Alarm schlägt), kannst Du Dich an den Unterzeichner wenden und auf die eine oder andere Art Genugtuung verlangen.

2. Du surfst ja auch und empfängst Mails. Da gibt es jede Menge Möglichkeiten, Dir etwas unterzujubeln, auch wenn Du nicht willentlich auf eine .exe klickst.

Re: Eigene Anwendungen digital signieren - eine Mini-Einführ
 

Das klingt ja nach einem Duell, aber ich weiß was Du meinst ;)

Re: Eigene Anwendungen digital signieren - eine Mini-Einführ
 

Hallo Daniel,

erst einmal vielen Dank für Dein Tutorial!
Ich habe heute versucht, die Steps zu reproduzieren:

1) schlägt fehl. Wenn ich den Schalter "-pe" weglasse, wird jedoch eine .cer-Datei erstellt.

2) scheint zu funktionieren (keine Fehlermeldung)

3) kann nicht ausgeführt werden, weil signtool.exe nicht vorhanden ist.

Jetzt meine Frage: Welche Version des .NET SDK ist erforderlich?

TIA
KalwaDOS

Re: Eigene Anwendungen digital signieren - eine Mini-Einführ
 

Eigentlich gar kein .NET-SDK, oder? signtool.exe und signcode.exe sind z.B. im Platform SDK enthalten, wenn ich mich nicht irre (brauchen dann nur irgendwelche VC-Runtimes, je nach Platform-SDK-Version, die man aber meist eh schon drauf hat).

Re: Eigene Anwendungen digital signieren - eine Mini-Einführ
 

Nur wenn der Virus die veränderte Exe mit seiner Signatur neu Signiert :-)
Ansonsten meckert Windows uberhaupt nicht wenn eine Signatur kaputt ist. Dazu muß man schon in den Eigenschaften nachschauen bzw. im Code dieser Anwendung wird die Gültigkeit der Signatur überprüft.

Re: Eigene Anwendungen digital signieren - eine Mini-Einführ
 

Ob Windows bei einer kaputten Signatur nicht meckert, wär ich mir nichtmal sicherer. Wichtiger aber: wär ich ein Virus, würd ich die Signatur einfach entfernen (nichtmal selber signieren), solange man Signaturen nicht irgendwo per Policy als Pflicht festlegt (und selbst dann ist ja nichtmal Vista soweit Certified for Vista, daß alle Betriebssystemdateien schon signiert wären), würd das wahrscheinlich nichtmal auffallen.

Re: Eigene Anwendungen digital signieren - eine Mini-Einführ
 

Aus dem Ursprungs-Artikel:
Darum meine Frage nach der Version des .NET-SDK.

KalwaDOS

Re: Eigene Anwendungen digital signieren - eine Mini-Einführ
 

Das wollte Bernhard doch mal wissen. Wie geht das denn?

Re: Eigene Anwendungen digital signieren - eine Mini-Einführ
 

@KalwaDOS: Vielleicht sind diese Dateien ja auch in diversen SDKs drin. Hab gerade nochmal nachgeschaut, im bin-Ordner des Platform SDK for Win Server 2003 R2 sind beide Dateien definitiv enthalten.

@sh17: Im PE-Header (evtl. auch schon im MZ, müsste ich nachsehen) steht der Offset zur Signatur. Die Datei ab diesem Offset abschneiden, und den Offset auf 0 setzen. SecureBlackbox ist auch ne nette Sammlung, die nen Authenticode-Teil beinhaltet, der das imho auch kann.