如何区分数字签名攻击呢?有两个方法:
1.查看数字签名的详细信息,我们应该查看该数字签名的详细信息,点击"详细信息"按钮即可。
我们会发现正常EXE和感染(或捆绑木马)后的EXE数字签名的区别。
正常EXE的数字签名详细信息。
被篡改后的EXE数字签名信息无效。
方法2,使用数字签名验证程序sigcheck.exe (可以百度一下找这个工具,著名系统工具包Sysinternals Suite的组件之一。)
数字签名异常的结果为:
C:\Documents and Settings\litiejun\??\modify.exe:
Verified: Unsigned
File date: 15:46 2008-5-23
Publisher: n/a
Description: n/a
Product: n/a
Version: n/a
File version: n/a
数字签名正常的结果为:
C:\Documents and Settings\litiejun\??\che.exe:
Verified: Signed
Signing date: 16:28 2008-4-29
Publisher: n/a
Description: n/a
Product: n/a
Version: n/a
File version: n/a