HookSigntool

简介

本项目编译结果为HookSigntool.dll，用于亚洲诚信数字签名工具（或其他类似的签名工具，如天威诚信代码签名证书助手，沃通代码签名工具，环玺信息数字签名工具等等）它的作用如下：

Hook数字签名工具对证书有效期的判断，无需修改系统的时间，即可用过期的证书进行数字签名。
增加自建的时间戳服务器，配合过期证书使用，伪造证书有效期内的时间戳签名，使得整个签名能被验证。（此功能需要修改数字签名工具本身）

原理

编译出的HookSigntool.dll通过微软的Detours库Hook了签名工具的函数调用以达到目的总共Hook了6个函数：

crypt32.dll!CertVerifyTimeValidity 返回值改为0，让签名工具误以为所有证书都在有效期内，以便在不修改系统时间的情况下用过期证书签名。
mssign32!SignerSign 传入参数 pwszHttpTimeStamp 修改为自建时间戳地址（自建时间戳接受地址中设定的时间，用以伪造签名）
mssign32!SignerTimeStamp 同上
mssign32!SignerTimeStampEx2 同上
mssign32!SignerTimeStampEx3 同上（此函数在 Windows 7 上不存在）
kernel32.dll!GetLocalTime 返回值根据配置文件修改，对于程序功能无影响。

用法

这个dll有两种设置方法，一种是ini文件，另一种是命令行参数

时间表示方法

本程序所用的时间表示方法为SimpleDateFormat，即格式为 yyyy-MM-dd'T'HH:mm:ss 的UTC时间北京时间是UTC+8，所以时间需要减掉8小时才能变成UTC时间举几个例子：北京时间 2011-04-01 08:00:00，表示为 2011-04-01T00:00:00 北京时间 2019-03-10 10:25:34，表示为 2019-03-10T02:25:34

ini文件

程序默认使用同目录下的hook.ini，当然，也可以通过命令行参数-config指定其他ini文件

;[Timestamp]Section中设置SignerTimeStamp的参数
;本处设置的是时间戳签名伪造的默认时间（SimpleDateFormat）
;可以通过命令行 -ts 参数传递替换的Timestamp
[Timestamp]
Timestamp=2011-04-01T00:00:00

;[Time]Section中设置GetLocalTime的返回值
;本处设置的时间不判断证书有效期，也不是时间戳时间，仅仅影响证书管理界面的证书颜色（到期天数）
;如需设置，请请删除注释分号
[Time]
;Year=2011
;Month=4
;Day=1
;Hour=0
;Minute=0
;Second=0

命令行参数

向数字签名工具的exe文件传递启动参数（如亚洲诚信数字签名工具，则是对DSigntool.exe传递参数）

-config

指定一个如上描述的ini文件的位置（相对路径或绝对路径），比如：

DSigntool.exe -config hook.ini
DSigntool.exe -config ../another.ini
DSigntool.exe -config D:\Signtool\config.ini

-ts

指定时间戳需要伪造的签名时间，用SimpleDateFormat表示 -ts传递的时间优先级高于ini文件中配置的时间，因此-ts和-config参数同时存在时，程序使用-ts的时间

DSigntool.exe -ts 2011-04-01T00:00:00
DSigntool.exe -ts 2019-03-10T02:25:34

快捷方式

由于有命令行参数启动这种方式，所以可以通过lnk快捷方式启动数字签名工具，来达到修改时间戳日期的功能。编辑指向数字签名工具的lnk快捷方式，在目标后面加上-ts参数即可。例如：

目标 "C:\Program Files (x86)\DSignTool\DSignTool.exe" -ts 2015-04-01T00:00:00
起始位置 "C:\Program Files (x86)\DSignTool"

通过这个lnk启动的数字签名工具就被设定了时间戳日期。也可以根据需要制作多个不同的快捷方式，设定不同的时间。

编译

编译环境：Visual Studio 2019 (生成工具v142)

依赖库：Detours库

编译步骤：

下载微软Detours库 https://www.microsoft.com/en-us/download/details.aspx?id=52586 并解压缩
开始菜单中打开x86 Native Tools Command Prompt for VS 2019，进入解压缩的Detours目录，运行nmake，编译出x86的lib (x64无需编译)
将Detours目录下include,lib.X86目录下的文件复制到 C:\Program Files (x86)\Microsoft Visual Studio\2019\Enterprise\VC\Tools\MSVC\{Version}目录的include,lib\x86子目录中，完成Detours的安装
打开项目文件HookSigntool.sln解决方案配置为Release，直接编译即可。

修改数字签名工具

想要数字签名工具加载HookSigntool.dll则需要用LordPE等工具修改这个exe的导入表，向导入表添加HookSigntool.dll!attach

绕过证书有效期验证

这个比较容易，只要签名工具加载了本dll，无需任何操作即可成功。

添加自定义时间戳

需要将软件内置的时间戳地址替换为特殊标记（包括http://部分整个替换）一般是用十六进制编辑器直接找到字符串进行替换，原字符串的多余长度用 0x00 填充 SHA1的时间戳地址整个替换为 {CustomTimestampMarker-SHA1} SHA256的时间戳地址整个替换为 {CustomTimestampMarker-SHA256} 这个标记与时间戳协议无关，无论是Authenticode还是RFC3161都相同 dll会特异性识别这个标记，自动将它修改为时间戳地址

关于时间戳服务器

时间戳服务器是我自己编写搭建的，域名是 timestamp.pki.jemmylovejenny.tk 根证书由我自己签发，时间戳有两条证书链，分别为SHA1和SHA256 以当前时间签名时，服务器地址是http://timestamp.pki.jemmylovejenny.tk/SHA1/和http://timestamp.pki.jemmylovejenny.tk/SHA256/ 伪造任意时间的时间戳签名时，服务器地址在以上基础上加上SimpleDateFormat表示的时间，例如：

http://timestamp.pki.jemmylovejenny.tk/SHA1/2011-04-01T00:00:00
http://timestamp.pki.jemmylovejenny.tk/SHA256/2019-03-10T02:25:34

Authenticode和RFC3161协议的地址都是相同的，服务器会根据请求的不同自动识别并处理。域名中的timestamp可以简写为tsa，即tsa.pki.jemmylovejenny.tk

配合微软signtool使用

首先将程序签好名（不带时间戳），假设有N个签名那么对于第一个签名打时间戳：signtool timestamp /t "<URL>" <filename> 对于之后的任意个签名打时间戳：signtool timestamp /tp <index> /tr "<URL>" <filename> 其中URL为时间戳服务器地址，index从1开始递增，例如：

signtool timestamp /t "http://tsa.pki.jemmylovejenny.tk/SHA1/2011-04-01T00:00:00" test.exe
signtool timestamp /tp 1 /tr "http://tsa.pki.jemmylovejenny.tk/SHA256/2011-04-01T00:00:00" test.exe