Executaveis windows assinados digitalmente.

[Linces]

Eu preciso saber mais a respeito de engenharia reversa em executaveis windows assinados digitalmente.

Como lidar com isso?

Todo tipo de material me ajuda, alguém poderia me informar materiais de estudo? Video, tutorias, papers, qualquer coisa. 

Se alguém com experiência quiser falar mais a respeito também ajuda.

Muito Obrigado.

[anderson_leite]

Alguns documentos da microsoft sobre.

https://docs.microsoft.com/en-us/windows/win32/seccrypto/cryptography-tools

https://docs.microsoft.com/en-us/windows/win32/seccrypto/signtool

 

[Leandro Fróes]

Opa, poderia ser mais específico? O que quer saber exatamente? Dependendo do que você quer saber não tem necessidade de ler toda uma documentação.

[Fernando Mercês]

E não muda a análise. Reversa num binário assinado ou não, tanto faz que eu saiba. ?

[Linces]

Primeiramente, muito obrigado pelo retorno de todos.

Como posso remover a assinatura digital?  Executáveis que tem rotina para checar se foi alterada a assinatura/binário.

Estou "revertendo" um aqui assim, já adiantando que uma simples "des" assinatura usando uma ferramenta como o UnsignTool por exemplo, não adianta, pois falta ainda as rotinas que fazem a checagem.  

 

Veja abaixo:

 

[Linces]

Acho que eu deveria reformular a minha dúvida....Bom, vamos la:

O binário além de assinado digitalmente, esta "packeado" pelo upx. Segue:

1 - Binário original "packed" e assinado:

2 - Binário "unpacked", e sessão da assinatura destruída:

E ao executar o binário "unpacked", temos isso:

Assinatura  logicamente foi removida no processo de descompactação, minha primeira dúvida é: "Ele foi assinado após passar pelo upx? Ou antes?": 

Minha segunda dúvida é, teria como eu reconstruir essa sessão da assinatura depois de descompactado o binário? Ou eu deveria tentar retirar a checagem da assinatura?

Que abordagem vcs sugerem para resolver isso?