Можно ли просроченным сертификатом подписать ехе (например, отключить сеть и перевести дату в биосе)? Как signtool определяет что сертификат просрочен?

| Сообщение посчитали полезным:

один Trust TimeStamping CA, второй - Microsoft Code Verification Root

-----
...или ты работаешь хорошо, или ты работаешь много...

| Сообщение посчитали полезным:

BfoX
Пруф? Откуда взялся этот сертификат? Где и в каком KB он опубликован?

| Сообщение посчитали полезным:

diogen пишет:
самораспаковывающийся архив CAB. В нем 2 файла upd.exe и time.dat
Это я видел, я не пробовал переименовывать time.dat в time.dat.cer

BfoX пишет:
один Trust TimeStamping CA, второй - Microsoft Code Verification Root
Да, после переименования видны эти два сертификата.

| Сообщение посчитали полезным:

diogen
переадресую ваш вопрос к ronnyspb по его --> мессаге <--

-----
...или ты работаешь хорошо, или ты работаешь много...

| Сообщение посчитали полезным:

ronnyspb
Где вы брали этот ваш файл (или сами свояли), дата 20.12.15?

| Сообщение посчитали полезным:

diogen пишет:
Где вы брали этот ваш файл
Мне нужен был один модифицированный драйвер под win7x64 и один человек помог с ним, в том числе и этим файлом-updater'ом.

| Сообщение посчитали полезным:

Вот, похоже, и отгадка.
Для того чтоб драйвер запускался даже при истекшем сертификате нужна метка времени при подписи.
Это обеспечивается фейковым time сервером + фейковым же сертификатом, добавленным в trusted root.

Соответственно, и работать метода будет только на тех машинах, у которых "обновлена" цепочка фейковых сертификатов.

-----
старый пень

| Сообщение посчитали полезным:

r_e
Может быть и еще один нюанс... Я импортировал сертификаты с возможность экспорта. Не?

Добавлено спустя 5 минут
ronnyspb пишет:
один человек помог
Человек "понимает толк в колбасных обрезках" сюда бы его...

| Сообщение посчитали полезным:

ronnyspb брал китайский серт у меня.

| Сообщение посчитали полезным:

Gideon Vi
Речь идет об другом сert'е, который зашит в updater'е.

| Сообщение посчитали полезным:

Если кому-то нужен аналогичный выложенному примеру вариант, то можно попробовать.

| Сообщение посчитали полезным:

ronnyspb пишет:
Если кому-то нужен аналогичный выложенному примеру вариант
Если updater тот-же, то не вижу смысла.

| Сообщение посчитали полезным:

diogen пишет:
updater тот-же
Тот же, в смысле подписать что-либо другое.

| Сообщение посчитали полезным:

ronnyspb пишет:
Тот же, в смысле подписать что-либо другое.
Ну, давай подпишем, посмотрим...

Добавлено спустя 1 минуту
Хотя, вряд-ли что-то изменится.

| Сообщение посчитали полезным:

r_e пишет:
Соответственно, и работать метода будет только на тех машинах, у которых "обновлена" цепочка фейковых сертификатов.

образ взят здесь



честно говоря, надеюсь, что это не пофиксят/нельзя пофиксить. Недоантивирусы не интересуют, а иметь возможность нормально подписать файл удобно.

| Сообщение посчитали полезным:

Gideon Vi
r_e пишет:
работать метода будет только на тех машинах, у которых "обновлена" цепочка фейковых сертификатов
Отнюдь, работает на юзверях, которым ну ни как не внушить, как обновляются сертификаты.

| Сообщение посчитали полезным:

Да, в том и фокус, что эту дровину можно перенести на девственно чистую никем не тронутую винду, и она там загрузится. Т.е, мы ставим на эталонную нетронутую винду Sandboxie, копируем туда уже подписанный заранее китайской подписью драйвер, и он работает без всяких телодвижений.
Этот трюк так никто и не объяснил.

Не сама Sandboxie же обновляет "цепочку фейковых сертификатов".

| Сообщение посчитали полезным:

Dart Raiden
Фокус с подписью и фейковым тайм-сервером я объяснил выше.
Единственный вопрос, который у меня остался почему у вас винда принимает драйвер с отозванным сертификатом в цепочке.

-----
старый пень

| Сообщение посчитали полезным:

Dart Raiden пишет:
Этот трюк так никто и не объяснил.
А что объяснять-то, мелкомягким либо это сподручно, либо ждут своего финального выхода. Ждемс...

Добавлено спустя 8 минут
r_e пишет:
почему у вас винда принимает драйвер с отозванным сертификатом в цепочке
Почему у вас не принимает, а подавляющего большинства - да? Разбирайтесь сами, какие твики-фигике применяли. И хватит тут мозг выносить, и установите в конце-концов чистую виртуалку и там сношайтесь...

| Сообщение посчитали полезным: Gideon Vi

r_e
Тут есть нюанс. Я проверял и на VMware и на живой системе (как раз вчера переустанавливал). И не только я проверял... Откуда там взяться "фейковому сертификату, добавленному в trusted root" я в упор не понимаю.

Ради интереса даже сверил хэши образа, с которого ставил винду. Оригинальная.

| Сообщение посчитали полезным:

Dart Raiden пишет:
Откуда там взяться "фейковому сертификату
Изначально в системе нет этого сертификата, он автоматически устанавливается updater'ом, соответственно его можно и ручным способом импортировать. Само по себе наличие именно этого сертификата в trusted root никак не сказывается на безопасности системы. Возможно, наличие временной отметки в подписи именно для 'kernel mode signing" носит только "косметический" характер.

| Сообщение посчитали полезным:

ronnyspb
Вам же сказали, что никаких апдейтеров не применялось! И как он автоматически сам сможет примениться?

| Сообщение посчитали полезным:

Я слегка потерял нить разговора, т.е. вроде у всех же работает?

| Сообщение посчитали полезным:

ronnyspb
По существу, кроме даты апдйтер кардинально ничего не меняет. Раз это не фатально, то и ладно.

| Сообщение посчитали полезным:

ronnyspb
>> Изначально в системе нет этого сертификата, он автоматически устанавливается updater'ом

Я вёл речь про кейс "ставим свежую винду, ставим sandboxie, подменяем дровину на уже заранее подписанную на другой машине - усё работает". Updater это, видимо, из другого примера. Вот конкретно в этом случае неясно, откуда берутся какие-то левые корневые сертификаты, если кроме самой Sandboxie больше ничего в систему не ставилось и не запускалось. Собственно, любой желающий может проделать это прямо на виртуальной машине, благо готовые файлы я выкладывал ;)

| Сообщение посчитали полезным:

Dart Raiden
До сих пор не выяснен вопрос по тем внедренным сертификатам (Sandboxie работает и без них).

Вопрос: Какие есть еще просроченные отозванные сертификаты кроме TrustAsia и Dell?

| Сообщение посчитали полезным:

У D-Link была утечка, но сертификат я не смог найти.
http://tweakers.net/nieuws/105137/d-link-blundert-met-vrijgeven-privesleutels-van-certificaten.html
http://habrahabr.ru/company/pt/blog/267547/

До Dell инцидент с самопальным корневым сертификатом случился у Леново
http://blog.erratasec.com/2015/02/extracting-superfish-certificate.html

| Сообщение посчитали полезным:

По китайскому серту - можно попробовать:

в командной строке выполнить (возможно, под администратором)

1) certutil -urlcache CRL delete 2) certutil -urlcache OCSP delete

потом, по адресу
C:\Users\<username>\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content найти файл 62B5AF9BE9ADC1085C3C56EC07A82BF6 и удалить (переименовать) его. Потом создать пустой файл с таким же именем и в свойствах поставить атрибут "только для чтения".

Потом проверить валидность китайского сертификата.

| Сообщение посчитали полезным:

diogen пишет:
Почему у вас не принимает, а подавляющего большинства - да? Разбирайтесь сами, какие твики-фигике применяли. И хватит тут мозг выносить, и установите в конце-концов чистую виртуалку и там сношайтесь...

няконец-то кто-то это озвучил кроме меня. Один человек на протяжении трех страниц доказывает, что черное - белое, и весь интернет бурлит.
Dart Raiden, ты софт с картинками залил? Может r_e не на те иероглифы жмакает?

ronnyspb пишет:
По китайскому серту - можно попробовать

это на живой системе. В попытках что-то доказать люди уже на эталонно-чистой проверяют.

Вобщем:

Gideon Vi пишет:
Софт в теме есть, кому надо - у того работает.

| Сообщение посчитали полезным:

Конечно, с картинками.
Я на самой первой странице призывал, попробуйте это на чистой виртуалке. Можно без инета. На "живой" системе не показатель как раз, мало ли почему там не грузит.

| Сообщение посчитали полезным: