我想验证签名的可执行镜像的证书(通过验证，我的意思是判断签名是否来自 MS/Adobe/Oracle 等)。 Windows 是否为此任务提供 api？我该怎么做，不知道。任何帮助，将不胜感激。 我正在使用 Windows 和 C++。我想验证 native 可执行镜像，而不是 .NET 程序集或 Java jar 文件。

更新

好的，我会尽快描述我想要的。

1) 验证 PE 证书。签名是否有效。当签名嵌入到 PE 中并且签名在安全目录中时，它应该可以工作。 (我在 sysinternals 论坛上找到了这个并且工作正常，所以我不再需要这个)。

2) 告诉谁是文件的签名者/发布者。我知道它可以通过 CryptQueryObject 实现(我找到了一个工作示例，虽然它不适用于安全目录)，但不知道如何将它与安全目录文件一起使用。

最佳答案

有许多 API 和方法可用于获取和验证可执行文件的签名，以及如何获取所需的其他附加信息。问题是你选择了哪个级别(像 WinVerifyTrust 这样的高级别)

可用于从 CAT 或 EXE 文件中获取加密上下文的最简单的第一个 API 是 CryptQueryObject功能。 KB323809 中的代码示例可以让您了解如何解码您需要的信息。如果您使用 CAT 文件，主要区别在于您应该修改 CryptQueryObject 的一些参数。 .我建议您只使用 CERT_QUERY_CONTENT_FLAG_ALL和 CERT_QUERY_FORMAT_FLAG_ALL和 CryptQueryObject将在内部完成您需要的所有事情:

BOOL bIsSuccess;
DWORD dwEncoding, dwContentType, dwFormatType;
HCERTSTORE hStore = NULL;
HCRYPTMSG hMsg = NULL;
PVOID pvContext = NULL;

// fill szFileName
...

// Get message handle and store handle from the signed file.
bIsSuccess = CryptQueryObject (CERT_QUERY_OBJECT_FILE,
                               szFileName,
                               CERT_QUERY_CONTENT_FLAG_ALL,
                               CERT_QUERY_FORMAT_FLAG_ALL,
                               0,
                               &dwEncoding,
                               &dwContentType,
                               &dwFormatType,
                               &hStore,
                               &hMsg,
                               &pvContext);

值 dwContentType由 CryptQueryObject 设置将为您提供有关文件类型的基本信息 szFileName . pvContext将是 PCCERT_CONTEXT对于您需要的大多数情况，但也可以是 PCCRL_CONTEXT或 PCCTL_CONTEXT如果您使用 .ctl 或 .crl 文件作为输入。您将收到 hStore填充了文件 szFileName 中的所有证书.所以关于pvContext和 hStore您可以使用 CryptoAPI 检查包含的文件。如果你喜欢 可以使用的低级按摩 API hMsg在某些情况下将额外设置 dwContentType (至少对于 CERT_QUERY_CONTENT_PKCS7_SIGNED ， CERT_QUERY_CONTENT_PKCS7_UNSIGNED ， CERT_QUERY_CONTENT_PKCS7_SIGNED_EMBED )。

要验证文件的签名，我建议您使用 CertGetCertificateChain和 CertVerifyCertificateChainPolicy不仅要验证证书在一般情况下是有效的，而且它(或其所有父级)对于验证码( szOID_PKIX_KP_CODE_SIGNING )是有效的。 CertGetCertificateChain可用于不同的撤销场景。您应该使用 CERT_CHAIN_POLICY_AUTHENTICODE 进行两次单独的通话。和 CERT_CHAIN_POLICY_AUTHENTICODE_TS验证 Authenticode 链策略和 Authenticode 时间戳链策略是否有效。

已更新:我重读了您当前的问题(已更新部分)。您当前的问题是如何获取文件的签名者/发布者。所以我只回答这个问题。

如果您使用 the code from sysinternal对于签名验证，您应该只搜索该行

if ( !CryptCATCatalogInfoFromContext(CatalogContext, &InfoStruct, 0) )

语句 sill 设置 InfoStruct 的字段如果该文件是系统 Windows 文件，其签名已针对某些 .cat 文件进行验证。字段InfoStruct.wszCatalogFile将为您提供 .cat 文件的名称。

例如在我的 Windows 7 上，如果我尝试验证 C:\Windows\explorer.exe 的数字签名文件，可以找到其哈希的 .cat 是 C:\Windows\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Package_1_for_KB2515325~31bf3856ad364e35~amd64~~6.1.1.0.cat .

如果您要使用 KB323809 中的代码上述参数为CryptQueryObject您将解码 SPC_SP_OPUS_INFO_OBJID C:\Windows\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Package_1_for_KB2515325~31bf3856ad364e35~amd64~~6.1.1.0.cat 的 ("1.3.6.1.4.1.311.2.1.12") 属性(见函数 GetProgAndPublisherInfo )你就知道了

pwszProgramName: "Windows Express Security Catalogs"
pPublisherInfo: NULL
pMoreInfo->dwLinkChoice: SPC_URL_LINK_CHOICE
pMoreInfo->pwszUrl "http://www.microsoft.com"

因此，该文件不包含任何特殊的发布者信息。如果您检查目录的签名者，您会发现:

The signer of the .cat file: "Microsoft Windows"
The signer signed it with the certificate:
    Serial Number: 0x6115230F00000000000A
    Issuer Name: Microsoft Windows Verification PCA
    Full Issuer Name:
        CN = Microsoft Windows Verification PCA
        O = Microsoft Corporation
        L = Redmond
        S = Washington
        C = US
    Subject Name: Microsoft Windows
    Full Subject Name:
        CN = Microsoft Windows
        OU = MOPR
        O = Microsoft Corporation
        L = Redmond
        S = Washington
        C = US
The Date of TimeStamp : 28.02.2011 21:16:36
TimeStamp Certificate: 
    Serial Number: 0x6103DCF600000000000C
    Issuer Name: Microsoft Time-Stamp PCA
    Subject Name: Microsoft Time-Stamp Service

所以你应该只使用 .cat 文件的签名者，因为没有其他 explorer.exe 的签名者。 .

关于c++ - 从可执行文件中读取和验证证书，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/7241453/