微塵

沒有經(jīng)過數(shù)字簽名認(rèn)證的程序是不安全的，嘗試在Windows系統(tǒng)中安裝多個(gè)沒有經(jīng)過數(shù)字簽名認(rèn)證的程序，會(huì)給系統(tǒng)的穩(wěn)定運(yùn)行帶來威脅。日后，Windows系統(tǒng)在運(yùn)行過程中遇到故障時(shí)，這些沒有數(shù)字簽名的程序或驅(qū)動(dòng)，或許就是“罪槐禍?zhǔn)住?，而且有時(shí)即使知道它們是禍?zhǔn)祝卜植磺宄烤故悄膫€(gè)沒有數(shù)字簽名的程序在“惹禍”。

為了保護(hù)系統(tǒng)安全，Windows系統(tǒng)引進(jìn)了數(shù)字簽名技術(shù)，并以此判斷系統(tǒng)中的一些核心文件是否受到攻擊或破壞。而不少殺毒軟件也紛紛將數(shù)字簽名看成是白名單，通過掃描檢測(cè)數(shù)字簽名來判斷系統(tǒng)的安全狀況。那么如何才能知道某些程序或驅(qū)動(dòng)已經(jīng)通過微軟數(shù)字簽名認(rèn)證呢？如何有效判斷數(shù)字簽名是假冒的、不安全的呢？當(dāng)數(shù)字簽名影響日常操作時(shí)，又該如何化解呢？本文下面的內(nèi)容，會(huì)幫助大家用好Windows系統(tǒng)中的數(shù)字簽名功能。

用UAC判斷數(shù)字簽名安全

從Vista系統(tǒng)開始，UAC（用戶賬號(hào)控制）功能作為一項(xiàng)提高系統(tǒng)安全的新技術(shù)，被集成到Windows系統(tǒng)中，它要求用戶在執(zhí)行一些可能存在安全風(fēng)險(xiǎn)的操作之前，必須擁有相關(guān)的操作權(quán)限，通過在這些操作啟動(dòng)前對(duì)其進(jìn)行驗(yàn)證。該功能具有指明特定程序名稱和發(fā)行者的有效數(shù)字簽名功能，利用它我們也能判斷出某些陌生程序的數(shù)字簽名是否安全。例如，對(duì)于安全、可信的系統(tǒng)進(jìn)程，UAC（用戶賬號(hào)控制）功能會(huì)彈出綠色提示框，對(duì)于帶有陌生數(shù)字簽名的進(jìn)程，它會(huì)彈出黃色提示框，對(duì)于被阻止的數(shù)字簽名進(jìn)程會(huì)彈出紅色提示框。默認(rèn)狀態(tài)下，UAC功能會(huì)將所有系統(tǒng)文件數(shù)字簽名簽署者識(shí)別為Microsoft Windows，倘若識(shí)別到某個(gè)系統(tǒng)文件沒有數(shù)字簽名信息，那就會(huì)認(rèn)為該文件被非法攻擊或破壞，這時(shí)需要采取相關(guān)安全措施進(jìn)行應(yīng)對(duì)。

Vista系統(tǒng)默認(rèn)已經(jīng)啟用了UAC功能，當(dāng)發(fā)現(xiàn)其沒有運(yùn)行時(shí)，可以進(jìn)行如下操作開啟它的運(yùn)行狀態(tài)：首先依次單擊“開始”、“控制面板”命令，彈出系統(tǒng)控制面板窗口，逐一雙擊其中的“用戶賬戶”、“更改用戶賬戶控制設(shè)置”按鈕，打開如圖1所示的設(shè)置對(duì)話框。檢查移動(dòng)滑塊位于哪個(gè)位置，如果發(fā)現(xiàn)其位于“從不通知”位置處時(shí)，那就表示UAC功能當(dāng)前沒有啟動(dòng)運(yùn)行，此時(shí)，只要用鼠標(biāo)將其拖動(dòng)到“始終通知”位置處，再單擊“確定”按鈕保存設(shè)置操作。

查找沒有數(shù)字簽名程序

大家知道，沒有經(jīng)過數(shù)字簽名認(rèn)證的程序是不安全的，嘗試在Windows系統(tǒng)中安裝多個(gè)沒有經(jīng)過數(shù)字簽名認(rèn)證的程序，會(huì)給系統(tǒng)的穩(wěn)定運(yùn)行帶來威脅。日后，Windows系統(tǒng)在運(yùn)行過程中遇到故障時(shí)，這些沒有數(shù)字簽名的程序或驅(qū)動(dòng)，或許就是“罪槐禍?zhǔn)住保矣袝r(shí)即使知道它們是禍?zhǔn)?，也分不清楚究竟是哪個(gè)沒有數(shù)字簽名的程序在“惹禍”。有鑒于此，我們需要在平時(shí)定期查看Windows系統(tǒng)，看看究竟有哪些程序或驅(qū)動(dòng)沒有經(jīng)過數(shù)字簽名驗(yàn)證，找到這些沒有數(shù)字簽名的程序或驅(qū)動(dòng)后，及時(shí)刪除或卸載它們，就能保證系統(tǒng)運(yùn)行穩(wěn)定了。

在Windows 7系統(tǒng)中查找沒有數(shù)字簽名程序時(shí)，可以依次點(diǎn)擊“開始”、“運(yùn)行”命令，在其后彈出的系統(tǒng)運(yùn)行對(duì)話框中，執(zhí)行“Sigverif”命令，切換到如圖2所示的設(shè)置對(duì)話框。在這里，不需要進(jìn)行任何復(fù)雜的設(shè)置，只要單擊地按下“開始”按鈕，Windows 7系統(tǒng)就能自動(dòng)掃描分析計(jì)算機(jī)中的所有設(shè)備驅(qū)動(dòng)文件和系統(tǒng)文件。掃描任務(wù)完成后，那些沒有數(shù)字簽名的程序或驅(qū)動(dòng)，就會(huì)全部顯示在結(jié)果界面中，及時(shí)記錄這些驅(qū)動(dòng)或程序的具體文件名稱，日后Windows系統(tǒng)遇到無法解決的故障現(xiàn)象時(shí)，我們就能嘗試從網(wǎng)上找到通過數(shù)字簽名認(rèn)證的設(shè)備驅(qū)動(dòng)或系統(tǒng)文件，來替代這些沒有數(shù)字簽名的文件，或者索性刪除這些不穩(wěn)定的沒有數(shù)字簽名文件，以確保Windows系統(tǒng)可以安全、穩(wěn)定地運(yùn)行。

當(dāng)然，如果僅想查看Windows系統(tǒng)中的設(shè)備驅(qū)動(dòng)程序是否經(jīng)過數(shù)字簽名認(rèn)證時(shí)，也可以利用系統(tǒng)自帶的“Verifier”命令，對(duì)硬件設(shè)備驅(qū)動(dòng)程序進(jìn)行快速校驗(yàn)，這種方法可以將隱藏在計(jì)算機(jī)中的無效硬件驅(qū)動(dòng)程序“揪”出來。在使用“Verifier”命令來查找未簽名設(shè)備驅(qū)動(dòng)時(shí)，可以依次點(diǎn)擊“開始”、“運(yùn)行”命令，彈出系統(tǒng)運(yùn)行對(duì)話框，輸入“Verifier”字符串命令并回車，選中其后界面中的“創(chuàng)建標(biāo)準(zhǔn)設(shè)置”選項(xiàng)，并按“下一步”按鈕，打開如圖3所示的設(shè)置對(duì)話框，在這里我們會(huì)發(fā)現(xiàn)Windows系統(tǒng)為用戶提供了多個(gè)選項(xiàng)。默認(rèn)狀態(tài)下，Windows系統(tǒng)會(huì)將“自動(dòng)選擇未經(jīng)簽名的驅(qū)動(dòng)程序”選項(xiàng)選中，來掃描檢查本地計(jì)算機(jī)中的設(shè)備驅(qū)動(dòng)文件是否通過了數(shù)字簽名認(rèn)證。

取消驅(qū)動(dòng)程序強(qiáng)制簽名

在安裝了Windows 8系統(tǒng)的工作環(huán)境中，嘗試為舊設(shè)備安裝版本較低的驅(qū)動(dòng)程序時(shí)，系統(tǒng)會(huì)彈出“第三方INF不包含數(shù)字簽名信息”之類的提示，并強(qiáng)行終止驅(qū)動(dòng)安裝操作，這么說來我們就無法在Windows 8系統(tǒng)中安裝使用低版本驅(qū)動(dòng)程序了？其實(shí)，經(jīng)過一些合適設(shè)置，取消Windows 8系統(tǒng)的驅(qū)動(dòng)程序強(qiáng)制簽名功能，就能在該系統(tǒng)中正常安裝使用舊設(shè)備或驅(qū)動(dòng)了。

首先登錄進(jìn)入Windows 8系統(tǒng)Metro界面，將鼠標(biāo)移動(dòng)到屏幕右側(cè)區(qū)域，彈出Charm菜單，點(diǎn)擊“設(shè)置”按鈕，進(jìn)入電腦設(shè)置頁面，選擇“常規(guī)”標(biāo)簽，在對(duì)應(yīng)標(biāo)簽頁面選擇最后一項(xiàng)立即重啟。當(dāng)系統(tǒng)彈出啟動(dòng)菜單時(shí)，點(diǎn)擊“疑難解答”選項(xiàng)，之后進(jìn)入高級(jí)選項(xiàng)設(shè)置頁面，按下“啟動(dòng)設(shè)置”按鈕，進(jìn)入如圖4所示的啟動(dòng)設(shè)置列表區(qū)域，選中“禁用驅(qū)動(dòng)程序強(qiáng)制簽名”選項(xiàng)，重新啟動(dòng)計(jì)算機(jī)后，Windows 8系統(tǒng)日后就不會(huì)攔截沒有數(shù)字簽名的驅(qū)動(dòng)程序文件了。

當(dāng)然，在某些版本的Windows 8系統(tǒng)中，也可以通過修改系統(tǒng)組策略相關(guān)配置，來取消驅(qū)動(dòng)程序強(qiáng)制簽名。在進(jìn)行該操作時(shí)，可以依次點(diǎn)擊“開始”、“運(yùn)行”命令，彈出系統(tǒng)運(yùn)行對(duì)話框，輸入“gpedit.msc”命令并回車，開啟系統(tǒng)組策略編輯器運(yùn)行狀態(tài)。在組策略編輯窗口左側(cè)列表中，將鼠標(biāo)定位到“本地計(jì)算機(jī)策略”、“用戶配置”、“管理模板”、“系統(tǒng)”、“驅(qū)動(dòng)程序安裝”、“設(shè)備驅(qū)動(dòng)程序的代碼簽名”組策略選項(xiàng)上，并用鼠標(biāo)雙擊該選項(xiàng)，打開對(duì)應(yīng)選項(xiàng)組策略屬性對(duì)話框，選中“已啟用”選項(xiàng)，確認(rèn)后保存設(shè)置操作。endprint

判斷數(shù)字簽名是否假冒

為了躲避各種殺毒軟件的圍剿追殺，一些狡猾的網(wǎng)絡(luò)病毒，經(jīng)常會(huì)假冒名氣較大軟件的數(shù)字簽名，以此讓殺毒軟件識(shí)別不出來。那么怎樣才能準(zhǔn)確判斷數(shù)字簽名是否假冒，從而保護(hù)本地計(jì)算機(jī)不受病毒木馬程序的非法攻擊呢？其實(shí)，利用“文件數(shù)字簽名驗(yàn)證程序”插件，配合SREng這款安全軟件，就能輕松掃描分析本地計(jì)算機(jī)系統(tǒng)中各種文件的簽名信息，并準(zhǔn)確判斷它們的真假。首先從網(wǎng)上下載獲得“文件數(shù)字簽名驗(yàn)證程序”插件和SREng這款工具的安裝程序，按照默認(rèn)設(shè)置安裝好SREng這款工具后，將“文件數(shù)字簽名驗(yàn)證程序”插件中的所有文件，全部解壓釋放到SREng安裝目錄的“plugins”子文件夾中。從系統(tǒng)“開始”菜單中開啟SREng這款工具的運(yùn)行狀態(tài)，按下對(duì)應(yīng)程序界面中的“擴(kuò)展”按鈕，就能發(fā)現(xiàn)“文件數(shù)字簽名驗(yàn)證程序”的身影，用鼠標(biāo)雙擊該插件，開啟目標(biāo)插件程序的運(yùn)行狀態(tài)。

切換到目標(biāo)插件對(duì)話框，單擊其中的“選擇目標(biāo)”按鈕，彈出文件夾選擇對(duì)話框，將需要掃描分析的文件夾選中并添加進(jìn)來，例如要判斷系統(tǒng)文件夾中的系統(tǒng)文件數(shù)字簽名真假時(shí)，只要將“C：＼Windows＼system”或“C：＼Windows＼system32”等文件夾導(dǎo)入進(jìn)來，再按“開始掃描”按鈕，“文件數(shù)字簽名驗(yàn)證程序”就能邊掃描分析，邊顯示判斷結(jié)果了。倘若某個(gè)系統(tǒng)文件的數(shù)字簽名掃描分析結(jié)果顯示為“0x00000000”時(shí)，那就表示該數(shù)字簽名是真實(shí)安全的。相反，如果掃描分析結(jié)果顯示為“0x800b0100”時(shí)，那就意味著目標(biāo)文件的數(shù)字簽名存在問題，出現(xiàn)這種現(xiàn)象有兩種可能，一是數(shù)字簽名的確存在但處于異常狀態(tài)，二是目標(biāo)文件根本不存在數(shù)字簽名。凡是數(shù)字簽名被識(shí)別為“0x800b0100”時(shí)，那很可能是系統(tǒng)文件已經(jīng)受到病毒木馬的破壞，或者目標(biāo)文件就是病毒木馬程序，我們應(yīng)該及時(shí)將它們從系統(tǒng)中刪除掉，以避免系統(tǒng)的運(yùn)行穩(wěn)定受到威脅。

此外，我們也可以使用Microsoft MVP開發(fā)的FileDigitalSignVerify工具，快速判斷某個(gè)程序文件數(shù)字簽名的真假。比方說，要判斷本地計(jì)算機(jī)中的畫圖程序簽名信息是否為假冒時(shí)，可以先下載安裝目標(biāo)工具，之后以系統(tǒng)管理員身份運(yùn)行“cmd”命令，切換到DOS命令行狀態(tài)，在該狀態(tài)下執(zhí)行命令“FileDigitalSignverify.EXE %SystemRoot%＼system32＼mspaint.exe -p”，如果命令返回“0x00000000”提示信息，那就表示該程序的數(shù)字簽名是有效的。如果數(shù)字簽名是假冒的，那命令會(huì)返回“0x800b0100”提示信息。endprint