Por que os hashes SHA256 usados pelo AppLocker são diferentes de outros geradores?

3

Os hashes SHA256 exibidos / exportados pelo AppLocker são diferentes dos hashes gerados por outras ferramentas.

Alguém pode explicar por quê?

Exemplo: Putty.exe 0,62 .

  • Ferramenta on-line aleatória : d4ffa4559a1e22167933772d82cf714cd4bb7a0e79511c2424e18bdb619d63a4

    AppLocker no Windows 7 : E0517EA6C2896CAA97D6CBF4E8CAEA00409F03703E888E83CFBC460F7682F337

Estou usando o cmdlet Get-AppLockerFileInstall do PowerShell para recuperar o hash do AppLocker aqui.

    
por gf131072 25.02.2015 / 22:27

1 resposta

4

O hash E051 ... que você está vendo não é um hash SHA256. É um hash Authenticode .

AppLocker computes the hash value itself. Internally it uses the SHA2 Authenticode hash for Portable Executables (Exe and Dll) and Windows Installers and a SHA2 flat file hash for the rest.

Parece que Putty.exe não está assinado digitalmente. No entanto, o AppLocker - tendo estabelecido que o arquivo é um executável, está calculando o Authenticode Hash.

Para detalhes de como o hash é calculado, veja Calculando o Hash Image PE em este documento da Microsoft .

Agora, quanto a por que o AppLocker (ou, mais provavelmente, o próprio cmdlet) afirma que esse é um hash SHA256 é um mistério. Pode muito bem ser um erro cosmético.

    
por 25.02.2015 / 23:23

Tags