如何从Windows注册表中提取证书

  • A+
所属分类:安全闲碎

Windows 注册表中包含有二进制块(Blob),有些二进制块用于存储证书,如下所示:

如何从Windows注册表中提取证书

以下的注册表位置都存储证书:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesHKEY_CURRENT_USERSOFTWAREMicrosoftSystemCertificates

证书通过 DER格式进行编码,总是以 0x30 为开始。但可以发现,在注册表中找到的二进制块并非以 0x30 开头,这是因为证书前缀存储了一些元数据。搜索 0x30 即可找到证书的位置:

如何从Windows注册表中提取证书

并非所有以 0x30 开头的字节序列都是有效的证书。从 0x30 8 开始搜索,提取该字节序列直到二进制块的结尾找到了该证书。

如何从Windows注册表中提取证书

如何从Windows注册表中提取证书

该方法并不精确,通过查看几个二进制块可以发现:每个证书都以 4 字节为前缀,这些字节对证书的长度进行编码(小端序),然后此长度字段以不变的 8 字节为前缀:20 00 00 00 01 00 00 00。

如何从Windows注册表中提取证书

看起来像是 TLV的格式,每个证书的类型都是 20 00 00 00 01 00 00 00。工具 format-bytes.py是解析二进制数据的工具,可用于解析 TLV 记录,如下所示:

如何从Windows注册表中提取证书

<QI<表示小端序,Q表示 unsigned long long(8 字节),I表示 unsigned int(4字节)。t:0意味着类型字段是第一个字段。l:1意味着长度字段是第二个字段。

可以看出,该二进制块包含 11 个 TLV 记录,最后一个长度为 1239,并且包含证书类型 0x100000020L。

进一步的研究表明,类型字段实际上由两个字段组成:属性标识符字段与保留字段,均为四个字节。属性标识符的可能值可以在 Windows 开发中心和 wincrypt.h 头文件中找到。

这意味着二进制块内的 TLV 记录可以使用 format-bytes.py -f “tlv=f:<III,t:0,l:2” blob.bin进行解析:

如何从Windows注册表中提取证书

例如,记录 5 的类型为 0x0b 代表是 CERT_FRIENDLY_NAME_PROP_ID

如何从Windows注册表中提取证书

如上图所示,包含 UTF16 编码的发行者名称。如下所示,证书本身位于记录 11 内(类型为 0x20):如何从Windows注册表中提取证书

如何从Windows注册表中提取证书

要提取证书请使用 -d执行二进制 dump 并写入本地文件:

如何从Windows注册表中提取证书

结论

二进制数据块中经常出现 TLV 记录,如果想要识别二进制块中的数据,请多比较几个示例可能就会发现定义的模式。证书与元数据一起存储在注册表中,元数据结构为 TrLV 记录。证书本身存储在记录内部,类型为 0x20。

参考来源:

https://blog.nviso.eu/2019/08/28/extracting-certificates-from-the-windows-registry/

如何从Windows注册表中提取证书


精彩推荐





如何从Windows注册表中提取证书

如何从Windows注册表中提取证书

如何从Windows注册表中提取证书

如何从Windows注册表中提取证书

如何从Windows注册表中提取证书

原文始发于微信公众号(FreeBuf):如何从Windows注册表中提取证书

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: