0
我们在运行数字签名的120 Mb可执行文件的2台PC上出现了一个奇怪的问题。启动数字签名的可执行文件时挂起
如果用户启动一个数字签名的.exe文件 - 然后启动主机(如资源管理器或CMD.EXE)将进入无限(无止境的)周期不断地打开/关闭HKLM \系统\ CurrentControlSet \控制\加密\提供商和HKLM \ System \ CurrentControlSet \ Control \ Cryptography \ Configuration注册表项。调用堆栈表明主进程位于CreateProcess函数内(更具体地说 - 在NtCreateUserProcess内部),目标进程是“部分创建的”。例如。它在任务管理器中可见,但在进程监视器中没有“进程创建”事件,任何尝试打开目标进程都会挂起尝试打开它的工具。
的浏览器/ CMD的启动过程是这样的:
- 检查HKLM \ SOFTWARE \ MICROSOFT \ WINDOWS NT \ CURRENTVERSION \图像文件执行选项(不存在)
- 32阅读整个.EXE KB块下HKLM \ SYSTEM
- 阅读注册表项\ CURRENTCONTROLSET \控制\加密\和枚举HKLM + HCU \ SOFTWARE \ MICROSOFT \ SystemCertificates \不允许的\证书
- 与阅读上面提到的注册表项无休止的循环恩迪之后立即开始ng枚举HKEF.DEFAULT \ SOFTWARE \ Policies \ Microsoft \ SystemCertificates \ Disallowed \ Certificates
数字证书是由COMODO发布的用于代码签名的常用SHA1-RSA证书。签名的可执行文件带有时间戳。该问题不在特定的可执行文件中,因为使用此证书签名的所有其他可执行文件都有相同的问题。其他已签名的可执行文件似乎运行良好。
我们曾尝试:
- 文件哈希是OK。
- 两台PC都安装了MalwareBytes。
- 禁用防病毒和防火墙不能解决问题。
- 安全模式解决了的问题。
- 证书没问题,没有过期,没有被吊销,certutil -f -urlfetch -verify没有发现任何问题。
- 上述各种Disallowed \ Certificates注册表项的枚举中未列出证书的哈希值。
- 卸载MS14-066/KB2992611没有帮助。
任何想法?