Desligue ao iniciar o executável assinado digitalmente

Navegue suas respostas
2

Temos um problema estranho em 2 PCs com a execução de um executável de 120 Mb assinado digitalmente.

Se o usuário iniciar um exe com assinatura digital - o host de inicialização (por exemplo, Explorer ou cmd.exe) entrará em ciclo infinito (sem fim) constantemente abrindo / fechando HKLM \ System \ CurrentControlSet \ Control \ Cryptography \ Providers e HKLM \ System Chaves de registro \ CurrentControlSet \ Control \ Cryptography \ Configuration. A pilha de chamadas indica que o processo de host está sentado dentro da função CreateProcess (mais especificamente - dentro de NtCreateUserProcess) e o processo de destino é "parcialmente criado". Por exemplo. ele é visível no Gerenciador de Tarefas, mas não há um evento "Processo criado" no Process Monitor, e qualquer tentativa de abrir o processo de destino trava a ferramenta que tenta abri-lo.

O processo de lançamento do Explorer / CMD é assim:

  1. Verificando as opções de execução de arquivo de imagem HKLM \ SOFTWARE \ MICROSOFT \ WINDOWS NT \ CURRENTVERSION \ (não existente)
  2. Lendo arquivos .exe inteiros por blocos de 32 Kb
  3. Lendo as chaves do Registro em HKLM \ System \ CurrentControlSet \ Control \ Cryptography \ e enumerando HKLM + HCU \ SOFTWARE \ MICROSOFT \ SystemCertificates \ Não Permitido \ Certificates
  4. O ciclo sem fim com a leitura das chaves de registro mencionadas acima começa logo após o término da enumeração de HKU.DEFAULT \ SOFTWARE \ Políticas \ Microsoft \ SystemCertificates \ Disallowed \ Certificates

O certificado digital é um certificado SHA1-RSA usual para assinatura de código emitido pela COMODO. O executável assinado tem o carimbo de hora. O problema não está em um executável específico, pois todos os outros executáveis assinados com este certificado têm o mesmo problema. Outros executáveis assinados parecem rodar OK.

O que tentamos:

  1. O hash de arquivos está OK.
  2. Ambos os PCs têm o MalwareBytes instalado.
  3. A desativação do antivírus e do firewall não resolve o problema.
  4. O modo de segurança resolve o problema
    5. .
  5. O certificado está OK, não expirou, não foi revogado, certutil -f -urlfetch -verify não encontra nenhum problema.
  6. O hash do certificado não está listado nas enumerações mencionadas acima de várias chaves de registro de Disallowed \ Certificates.
  7. A desinstalação do MS14-066 / KB2992611 não ajuda.

Alguma idéia?

    
por Alex 08.12.2014 / 05:15

1 resposta

1

Encontramos o motivo para isso.

É realmente um problema com a ferramenta Malwarebytes. Seu driver (mbamchameleon.sys) é inserido na chamada CreateProcess e causa um loop infinito durante a verificação da assinatura digital de alguns executáveis assinados.

link

    
por 10.02.2015 / 17:41

Tags

Thunderbird mostrando diferente do nome do que no View Source Como você formata uma data do Excel para representar 31 dias com horas, minutos e segundos?