防止具有无效 Authenticode 签名的可执行文件运行

Question

我们在单个可执行文件中发布了软件包的更新补丁。该文件使用颁发给我们的证书使用 Authenticode 数字签名进行签名。该文件被下载到我们的客户操作的 Windows XP 或 Vista 系统中，他们在其中运行该文件以更新我们的软件。

我们的 PCI 合规审核员要求我们防止出现以下情况：

1. 下载我们的可执行文件后，恶意者会更改该文件。细心的人将能够检查文件的属性并确定签名不再有效。
2. 恶意者将更改后的可执行文件放置在毫无戒心的用户可以运行它的地方。
3. 毫无戒心的用户运行了修改后的文件，引发了不明的破坏。

审计员认为，如果签名无效，有一种方法（或应该有一种方法）可以阻止文件运行。

你知道如何实现这一点吗？

Answer 1

MSDN 有一些关于此主题的有趣文章：

• 验证签名C 语言的 PE 文件
• 如何获取信息
  Authenticode 签名的可执行文件

Answer 2

组策略中有一个设置。以管理员身份打开“gpedit”，然后在“计算机配置\Windows 设置\安全设置\本地策略\安全选项”下，将“用户帐户控制：仅提升已签名和验证的可执行文件”设置为“启用”。

现在，如果您的受操纵程序尝试获取管理员权限，或者您尝试以管理员身份运行它，它将失败，并显示无用的错误消息“从服务器返回引用”。但是，这也会影响所有未签名的可执行文件。

似乎没有办法以与未签名的可执行文件不同的方式处理损坏的签名。甚至他们的橙色 UAC 弹出窗口看起来都一样，尽管损坏的签名比丢失的签名更令人震惊。 （当然，如果攻击者操纵了您的可执行文件，他也可以完全删除泄露秘密的签名。）