powershell 查看并存储文件的数字签名

文章目录

需求分析
实现过程
- 使用搜索引擎
- 使用powershell的帮助
实现代码
改进之处
参考文献

需求分析

今天突然有一个查看某个文件夹下某个特定数字签名的需求，于是便想着使用Powershell实现一下。
在实现之前，我们可以先简化一下需求，将需求改为：查看某个文件的数字签名

实现过程

使用搜索引擎

这个就比较复杂和坑了。
1.首先我搜索了powershell获取文件数字签名 ，找到了PowerShell 技能连载 - 检查数字签名 | 叹为观止这篇文章
2.然后发现他给出的代码是弹出数字签名的框来，就是下面这个。我就寻思着我想要的是文本输出而不是图形化输出啊。然后我就看了看他的输出函数是[Security.Cryptography.x509Certificates.X509Certificate2UI]::DisplayCertificate($signerCert)，这是个啥呢，于是我把[]里的东西搜索了一下，找到了微软官网，才知道是个win API。

3.在该页面上我了解到那原来是调用了X509Certificate2UI.DisplayCertificate Method这个函数，函数参数是X509Certificate2对象
4.随后我又在第一次打开的api页面上看了看，发现这个X509Certificate2类有很多方法和属性，里面和可能有我想要的东西。
5.于是，我又搜啊搜，最后通过关键字powershell获取文件证书搜到了这个PowerShell 技能连载 - 读取 PFX 证书。仔细阅读后发现里面的$cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2这句创建对象对我十分有帮助，我照着这个写了一个，在微软网站查看该类的方法发现toString的输出是满足要求的。通过toString的输出我也进一步了解到其SubjectName 和 IssuerName属性是我想要的内容。最后编写代码即可。
找到内容（这个比较耗时）并编写完大概花了俩小时（中间也洗了洗衣服啥的），时间有点长…

使用powershell的帮助

这应该是最简单的了：
1.我们首先当然想到使用powershell的帮助，查看帮助前得知道数字签名的英文，搜索一下就知道是digital signature
2.于是，为了扩大我们的搜索结果，我们使用 help *signature*来查看是否有现成的cmdlet。
3.结果发现还真有俩，其中一个Get-AuthenticodeSignature正好可以满足我们的需求。
4.然后我们使用help Get-AuthenticodeSignature -ShowWindow查看帮助，发现返回的是个System.Management.Automation.Signature对象。
5.我们根据文档写一行Get-AuthenticodeSignature -FilePath "C:\Windows\System32\drivers\nvpciflt.sys" | gm来看看对象属性，发现有个SignerCertificate属性很可能是我们想要找的
6.于是我们再将该属性输出到gm中查看，其SubjectName 和 IssuerName就是我们想要的结果了
前后找到需求不过5分钟左右，不过前提是我已经对一些属性和方法比较了解了…

实现代码

下面是我一开始的写法，可以进一步简化，不显示使用win api

param ($rootPath = "C:\Windows\System32\drivers",   #需要查看并保存文件证书的文件夹$storePath = "C:\signature.csv",  #结果存储路径$psTableList = @()
)$files = Get-ChildItem -Path $rootPath -File
foreach ($file in $files) {$filePath = $rootPath + "\" + $file$result = Get-AuthenticodeSignature -FilePath $filePath -ErrorAction SilentlyContinue$signerCert = $result.SignerCertificate$cert = New-Object System.Security.Cryptography.x509Certificates.X509Certificate2($signerCert)$SubjectName = ($cert.SubjectName.Name -split ",")[0]$IssuerName = ($cert.IssuerName.Name -split ",")[0]$table = @{"Filename"=$file; "颁发给"=$SubjectName; "颁发者"=$IssuerName}#$table = @{"Filename"=$file; "SubjectName"=$SubjectName; "IssuerName"=$IssuerName}$pstable = New-Object -TypeName PSObject -Prop $table$psTableList += $pstable#$cert.SubjectName | Select-Object -Property Name
}$pstablelist | Export-CSV $storePath -Encoding UTF8

不想要第一行可以给export加个-NoTypeInformation参数，空的内容代表没有数字签名。其中颁发给就是我想要的结果了。

改进之处

这里有个不足是只能获取到文件的第一个数字签名，如果文件有很多数字签名的话，就不能获取全。怎么改进这一点还是值得考虑的。个人认为难点在于使用Get-AuthenticodeSignaturecmdlet就只能获取到一个，得从获取数字签名的途径入手改改。

参考文献

http://blog.vichamp.com/2018/04/05/examining-digital-signature-signers/
http://blog.vichamp.com/2014/10/29/reading-in-pfx-certificate/
Export-CSV输出自定义对象数组