描述
这个项目的一个版本已经存在了好几年,通过修改它的元数据来帮助二进制文件融入目标环境。二进制文件的元数据可以替换为源的元数据。这包括产品名称、产品版本、文件版本、版权等值。除了标准元数据之外,sigthief 现在还用于复制数字签名。
安装
下载链接,公众号回复"数字签名"获取。
下载并解压两个文件
将Resource Hacker解压到 .srcresource_hackerResourceHacker.exe
用法
SYNOPSISMetaTwin copies metadata and AuthentiCode signature from one file and injects into another.SYNTAX[-Source] <Object> [-Target] <Object> [-Sign]Source Source binary containing metadata and signatureTarget Target binary that will be updatedSign Optional setting that will add the source's digital signature
运行
以管理员运行cmd
c:> c:toolsmetatwinc:> powershell -ep bypassPS> Import-Module c:toolsmetatwin.ps1PS> Invoke-MetaTwin(被复制数字签名路径) -Source c:windowssystem32netcfgx.dll -Target .123.exe(软件路径) -Sign
等待程序运行完成会出现一个文件夹
文件内出现两个软件,进行对比发现一个是有数字签名的
应用场景
常用于免杀木马的上传。
常用软件进行查杀木马查杀,通过木马123.exe和增加签名的木马进行对比,发现增加公司名和描述,大大增加了木马不被查杀的概率。
通过火绒剑网络的分析,还是不难发现这是个未知文件以及远程地址的IP就可以推断出是个木马或者未知程序(签名只是赌一把敢不敢删除微软的程序,修改木马名字和图片也是必要的)。
参考链接:https://github.com/threatexpress/metatwin
原文始发于微信公众号(北极星sec):数字签名-metatwin
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论