对抗权限长期把控-伪造无效签名第一季

Github：https://github.com/secretsquirrel/SigThief

简介：

在实战中，尤其是需要长期控制的目标，除免杀对抗安全软件以外，还需考虑人为无意查看恶意文件，如数字签名是否拥有。而许多安全软件，又仅仅验证是否有签名，而非验证签名是否有效。那么针对重要的目标，需要提前做多重对抗准备。

原始payload：

伪造无效签名payload：

伪造签名：

后者的话：

该原始python在伪造证书时，需要注意2点：

原始证书文件需要对应目标机的机器版本以及位数，如目标机是Windows2003，那么需要原始带证书文件也为Windows 2003的文件。包括第三方文件。

伪造证书后，例：在Windows 2003 开启验安全验证后，双击无法运行，也无报错，需要命令行下执行即可。

附录：sigthief.py

作者：Micropoor