签署非 PE 文件的通用方法

Question

我知道 Windows 本质上可以检测和验证 PE 和某些类型的文本文件（.vbs、.ps 和 .wsf）的签名。不过，我很好奇是否有一种方法可以将签名附加或关联到不直接支持签名的文件，例如 .ISO 或 .zip 文件。

包含二进制文件和 .inf 文件混合的驱动程序包使用签名的 .cat 文件来允许间接签名其组成部分，但您必须使用“signtool.exe verify”来验证文件，并且我通过这种方法得到了混合结果。

我想我正在寻找某种签名的清单文件，我们可以使用它来允许用户轻松验证他们下载的文件集在传输过程中或被第三方未损坏，并且不涉及他们创建手动进行 MD5 并将结果与​​存储在文本文件中的值进行比较（文本文件也可能被欺骗）。

Answer 1

NTFS 的备用数据流 似乎非常适合存储签名 - 这将允许您将签名附加到任何类型的文件，因此您不需要单独的清单。

当然，您仍然需要开发一个应用程序来验证签名 - 没有办法解决这个问题。