md5sum 包含总和本身的文件？

Question

我用 C++ 编写了一个由单个 EXE 文件组成的小应用程序。

我想将可执行文件本身的 md5sum 放入其“关于”对话框中。它应该静态嵌入到可执行文件中（以便可以从十六进制编辑器中看到），而不是动态计算。

Answer 1

正如@Shi & @matthewdaniel 已经说过，这不能直接完成。
然而，有几种解决方法是可能的：

• 计算应用程序的 MD5，并将可执行文件打包到容器应用程序中，该应用程序将简单地提取它并检查它的 MD5
• 编译代码并仅对代码段或其他段（数据除外）进行哈希处理，以及而不是添加MD5校验码。这将起作用，因为 MD5 字符串将存储在数据段中，从而保持任何其他内存段的预先计算的哈希值的有效性。

Answer 2

这是不可能的。

如果将 md5 哈希值输入到二进制文件中，则二进制文件将发生变化，因此 md5 哈希值也会发生变化。如果您创建一个新的，并尝试将其添加到二进制文件中，则二进制文件将再次更改。

因此最好的方法是将哈希值放入文件中，然后读取该文件并显示其内容。

另一种方法是创建二进制文件的 md5 哈希值，然后将其附加到可执行文件。为了获取该值，您读取二进制文件的最后 32 个字节并将其显示为 md5。当然，如果您创建完整可执行文件的哈希值，它将与哈希值不匹配 - 您必须创建可执行文件的哈希值（不包括最后 32 个字节）。

如果以原始格式（基数 256 而不是基数 16）存储 128 位 md5 哈希值，则只需要 16 字节。

Answer 3

一旦您将 md5 添加到文件中，该文件将具有不同的 md5。无法获取文件本身的 md5。

Answer 4

典型的方法是签名。签名是由公钥/私钥进一步签名的哈希值。应用程序可以使用公钥来验证其中包含的哈希值。

但是，这需要与可执行文件分开。正如其他答案所述，不可能用一个文件来做到这一点。您可以合并签名和二进制文件，并提供使用工具将它们分开以计算验证的说明。

但是，这并不能阻止针对应用程序的内存中攻击。即，缓冲区溢出，攻击者可以在内存中重写代码。

您可能不需要公钥的哈希值。您需要加密二进制文件的哈希值，使其无法更改。您可以使用公钥的哈希值来验证对用户的指令等。公钥的分发和验证指令不能捆绑在一起。否则，攻击者可以使用备用密钥对重新创建。包含公钥的散列可以防止针对指令的某些其他攻击。即，签名具有一些验证，以证明所公布的公钥与二进制文件的签名相匹配。

使用既定方法可能更好，因为用户可以使用替代工具来验证完整性。此外，这只使得公钥需要通过其他渠道分发。

参考： 使用 OpenSSL 进行数字签名

---

上面修复了另一种攻击。鉴于您所说的是可能的，什么会阻止其他人做同样的事情，但使用特洛伊木马二进制文件。公钥的分发是对来源（合法开发者）的认证。其他答案都没有解决这个问题。