» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 主动防御 » Medusa：简单过卡巴09数字签名 微软的数字签名 360verify.dll   作者: 标题: Medusa：简单过卡巴09数字签名 微软的数字签名 360verify.dll 点饭的百度空间 银牌会员 积分 2315 发帖 2236 注册 2007-11-30 #1  Medusa：简单过卡巴09数字签名 微软的数字签名 360verify.dll 冒充微点的“Medusa美杜杉1号山寨杀软”？ 微软的数字签名 意思就是说该程序是安全的，有微软的数字证书为证，通常情况下的杀软啊、ANTIROOTKIT工具等是不会对这样的文件下手的，在这里不是讨论咋个过，只看哈在我们自己写程序如何加上这样一个功能。   我目前找到的方法就2个（都贡献了，不藏着的）： 一、用360的。      360有一个DLL文件，其中一个功能是对文件进行签名的验证，而这个DLL本身又是结果了微软签名，爽。360verify.dll，里面有3个导出函数 CheckFileTrustA CheckFileTrustW Validate360ResourceSignA   从名字来看，前2个是我们需要的，分别对应ASCII和UNICODE的文件路径。 不知道函数的调用方式、调用参数、返回值等等。 OD载入，加载地址10001000， EntryPoint：1060 直接跳到10001060， 简单的跟踪后还原函数样子 复制内容到剪贴板 代码: BOOL CheckFileTrustA(TCHAR *FileName);测试关键代码如下： 复制内容到剪贴板 代码详见: http://tech.cuit.edu.cn/forum/thread-1798-1-2.html OK，我知道的都写完了，睡觉～～～ XPSP2+VC6 [ 本帖最后由 忘记密码 于 2008-8-12 22:11 编辑 ] ※ ※ ※ 本文纯属【点饭的百度空间】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 你的微笑 is 微点的骄傲！ http://hi.baidu.com/new/micropoint 2008-12-2 18:03 独孤不平 注册用户 积分 128 发帖 122 注册 2008-10-3 #2   很强大 ※ ※ ※ 本文纯属【独孤不平】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2008-12-2 20:39 狙击virus 注册用户 积分 162 发帖 162 注册 2008-11-25 #3   CUIT??? 居然在这能发现我的母校的牛人。。。   ※ ※ ※ 本文纯属【狙击virus】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2008-12-3 09:46 点饭的百度空间 银牌会员 积分 2315 发帖 2236 注册 2007-11-30 #4   伪造数字签名 过卡巴09主动防御                   [ Last edited by 点饭的百度空间 on 2009-1-19 at 10:38 ] ※ ※ ※ 本文纯属【点饭的百度空间】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 你的微笑 is 微点的骄傲！ http://hi.baidu.com/new/micropoint 2009-1-19 10:30 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号