Можно ли просроченным сертификатом подписать ехе (например, отключить сеть и перевести дату в биосе)? Как signtool определяет что сертификат просрочен?

| Сообщение посчитали полезным:

Достаточно перевести дату в windows.

| Сообщение посчитали полезным:

Gideon Vi
Если было бы достаточно - использовалось бы повсеместно. При подписи указывается сертифицированный timestamp сервер.

-----
старый пень

| Сообщение посчитали полезным:

При подписи используется сторонний timestamp сервер. При его отсутствии проверка опирается на дату истечения серта для подписи, так что подписать сможешь, но проверку на нормальной машине такой файл не пройдёт.

| Сообщение посчитали полезным:

Archer пишет:
проверку на нормальной машине такой файл не пройдёт

Драйвер с этой просроченной и отозваной цп запускается на x64 вплоть по win10. О какой проверке речь?


3508_20.12.2015_EXELAB.rU.tgz - notepad.rar

| Сообщение посчитали полезным:

Gideon Vi, не сказал бы, это даже не последний билд 10 (в последнем точно отозван по дефолту):
Скрин (клик)

| Сообщение посчитали полезным:

0x800B0101=CERT_E_EXPIRED что я делаю не так? Как вариант-воткни в файл флаг INTEGRITYCHECK, подпиши и посмотри, запустится ли он вообще.
Нужен пруф официальный? Их есть у меня
С мсдн Code that is signed but lacking a time stamp will not validate after the certificate expires.
И дело не только в отзыве, специально смотрел на более старой винде, где ещё не отозвали.

| Сообщение посчитали полезным:

Archer, да, спутал с инфой об отозванном слитом сертификате, они (M$) один проворонили, недавно вот было, он там был со свежей датой.

| Сообщение посчитали полезным:

Если кому-либо интересно, то просьба проверить на свежих системах (после Win7). Архив со стандартным для этого ресурса паролем, сначала запустить под администратором Updater.exe, потом проверить подпись у файла crackme.exe (это скачанный отсюда Crackme #1 by PE_Kill)

| Сообщение посчитали полезным:

ronnyspb пишет:
Если кому-либо интересно, то просьба проверить на свежих системах (после Win7). Архив со стандартным для этого ресурса паролем, сначала запустить под администратором Updater.exe, потом проверить подпись у файла crackme.exe (это скачанный отсюда Crackme #1 by PE_Kill)

Проверил на Windows 8.1 х64, после запуска Updater.exe, подпись у crackme.exe становится валидной. Толку от этого? Любой самоподписанный сертификат можно локально добавить в хранилище корневых сертификатов и ПО подписанное им будет с валидной подписью. Сперва же надо запустить от админа неподписанную программу, которая его добавляет в хранилище. Смысл какой в этом?

Добавлено спустя 10 минут
Gideon Vi пишет:

Достаточно перевести дату в windows.
Это факт или предположение? Я проверял, что-то не срабатывает. Windows же с апдейтами вроде тянет обновления корневых сертификатов, оттуда может signtool получает инфо о датах и о валидных сертах. Хотелось бы детальнее разобраться в этом.

Добавлено спустя 12 минут
r_e пишет:
Gideon Vi
Если было бы достаточно - использовалось бы повсеместно. При подписи указывается сертифицированный timestamp сервер.

При подписи можно же не использовать datestamp вообще, если не ошибаюсь. Либо действительно сторонний заюзать.

| Сообщение посчитали полезным:

Json пишет:
Это факт или предположение?

факт. Выкладывая notepad я не проверил его на запуск. Тем не менее, и сейчас люди продолжают пользоваться драйверами, подписанными сертификатом, который на момент подписи уже был просрочен и отозван. У меня самого сейчас работает драйвер sandboxie 5.6, который я лично подписал, переведя дату на 2012.1.1, при подключенном интернете.
INTEGRITYCHECK - это прекрасно, но вот экзешник, который я подписывал 26-11-2015. У кого-нибудь не запустится?
Почему работало? Ну, может в msdn, как всегда, не все написано. Или человеческий китайский фактор. Who cares? Работало.
Ну а то, что сейчас уже подписать нельзя - видимо заблочили из-за широкого распространения сертификата. Безопасность, my ass.

3426_21.12.2015_EXELAB.rU.tgz - UniExtract.rar

Добавлено спустя 1 час 10 минут
ronnyspb пишет:
Если кому-либо интересно

интересно, если не требует bcdedit.exe –set TESTSIGNING ON. Не требует?

Добавлено спустя 3 часа 10 минут
Json пишет:
Либо действительно сторонний заюзать.

предположу, что передается не только временная метка, но и ещё какая-то не документированная, без наличия которой подпись приниматься не будет.

| Сообщение посчитали полезным:

Вот можно еще проверить на sуs-файле от последней бета-версии прогрaммы-пeсoчницы. Предварительно нужно запустить под администратором файл Updаtеr из https://exelab.ru/f/action=vthread&forum=5&topic=23898#9. Потом - по обычным правилам установки "измененного" файла для этой программы. Архивы со стандартными местными пaрoлями.

| Сообщение посчитали полезным:

ronnyspb, зачем это и зачем пароль на это?

| Сообщение посчитали полезным:

Что касается драйверов то выше уже все сказали: он должен быть подписан либо с timestamp сервером чтобы работать всегда, либо он протухнет вместе сертификатом.
Даже если перевести часы назад и подписать бинарь просроченным сертификатом без сервера времени - при возвращении времени обратно дров перестанет грузиться.

-----
старый пень

| Сообщение посчитали полезным:

r_e
Я сейчас своими глазами наблюдаю обратное.

Как драйвер, который без timestamp подписан просроченным и отозванным сертификатом (подписан после откручивания часов назад) отлично работает после перевода часов на актуальное время.

Если интересно, могу выложить пруфы.

| Сообщение посчитали полезным:

ronnyspb
Пароль-то какой? "exelab.ru" не подходит.

| Сообщение посчитали полезным:

diogen
вначале еще www.

| Сообщение посчитали полезным:

--> Вот <-- подопытная программа, которая юзает драйвер. Её нужно установить, чтобы его поставила (x64). Если драйвер не запущен, то в трее будет восклицательный значок.

--> Вот <-- сертификат. Просрочен и отозван.

--> Вот <-- драйвер, подписанный этим сертификатом после отматывания времени в 2012 год. Если его подложить в папку к программе и перезагрузиться - он заработает вопреки всем утверждениям.

Уважаемые гуру, как это возможно?)

| Сообщение посчитали полезным:

Dart Raiden, забей. У них это работать не будет, потому, что не может.

Что касается вопроса, как это возможно, то все, вероятно, просто. Пока сертификат китайцы принудительно не заблочили на своем сервере, им можно было подписывать не смотря на срок годности. При подписи signtool получал не только время, но и разрешение. Сейчас разрешение не приходит.
Разумеется на msdn об этом не написано.

| Сообщение посчитали полезным:

Пусть попробуют на виртуалке. Факт ведь - в теории, 64-битная винда должна его слать лесом, но она его загрузит при старте.

Gideon Vi
Вы единственный, у кого этот драйвер перестал подписывать. Уже 2 человека заявили, что он отлично продолжает подписывать.

| Сообщение посчитали полезным:

r_e пишет:
Даже если перевести часы назад и подписать бинарь просроченным сертификатом без сервера времени - при возвращении времени обратно дров перестанет грузиться.

более того, он и на старом времени не загрузится.

Добавлено спустя 1 минуту
Dart Raiden пишет:
Вы единственный, у кого этот драйвер перестал подписывать. Уже 2 человека заявили, что он отлично продолжает подписывать.

ух ты, пойду, почитаю.

| Сообщение посчитали полезным:

Dart Raiden
Какой пасс на сертификат?
Нет желания грузить непонятный legacy драйвер.

-----
старый пень

| Сообщение посчитали полезным:

Обалдеть. Подтверждаю, какая-то проблема лично у меня. Дров, подписанный diogen работает.

Добавлено спустя 1 минуту
TrustAsia.com

| Сообщение посчитали полезным:

Уточню, что дровина подписана не через signtool, а через китайскую тулзу. Саму китайскую тулзу тоже выложу, если signtool не сдюжит (но, скорее всего, китайцы сделали лишь гуй, а внутри там работает всё та же signtool)

пароль: TrustAsia.com

| Сообщение посчитали полезным:

Кто-нибудь проверил файл? Интересно, как сторонние системы реагируют на него.

| Сообщение посчитали полезным:

Dart Raiden, diogen, сорь за ложную тревогу. Китайская утиль у меня сработала.
С момента появления серта пользовался signtool.exe, так как было удобнее, он-то меня и подвел. Видимо, что-то сбилось в ком.строке, буду проверять.
Отдельный привет адептам секты "работать не может, потому, что не может".

| Сообщение посчитали полезным:

Gideon Vi
Хз что там и где у вас сработало. Провел простой эксперимент:
1. Подпсиал signtool'ом свой дров с переводом времени в 2011 год.
2. Запустил инсталяцию дровины в системе - стало нормально.
3. Удалил драйвер.
4. Перевел часы на 2015 и запустил опять
5. Выдало стандартный диалог на загрузку неподписанного драйвера.
Если у вас эта дровина грузится, то проверьте что в системе не отключены опции проверки подписи.

-----
старый пень

| Сообщение посчитали полезным:

Полагаю, что все уже получили, кто что хотел.
У кого должно работать, работает, у кого не должно - не работает. ТС получил пищу для размышлений. Все счастливы.

| Сообщение посчитали полезным:

Проверил. Свеженькая Windows 10 x64. Никакие опции не отключены, никих ватермарков об этом на раб.столе тоже нет.

Ставим Sandboxie, она ставит свою подписанную дровину и успешно её запускает.
Вырубаем Sandboxie, меняем в её папке оригинальную дровину на подписанную китайским просроченным сертификатом (я её выкладывал выше).
Перезагружаемся, дровина загружена при старте системы и работает.

Это же так просто повторить. И даже часы переводить не надо.

| Сообщение посчитали полезным:

Перезагружаться, кстати, тоже не надо Сервис выключен вплоть до окна с предупреждением о загрузке драйвера. В этот момент можно ломать/подписывать/заменять и продолжать установку.
Но у r_e, вероятно, проблемы из того же места, что и у меня - signtool. Почему-то перестала нормально подписывать этим сертом. Более того, версия 6.0.6001, которая имела gui, у меня вообще не имеет предустановленного выбора для драйверов, что вообще ахтунг. Раньше пункт с sys был.



| Сообщение посчитали полезным: