Esto debería ser muy sencillo, pero no consigo encontrar una respuesta directa a esta pregunta. Tengo algunos binarios de Mach-O que tienen certificados incrustados. Algunos de ellos podrían no ser firmas, sino certificados Root que el código utiliza para verificar otras firmas. Algunos de ellos también podrían ser firmas. Estoy trabajando en algunos de los ejecutables del núcleo de Apple, así que eso podría ayudar. ¿Cómo puedo extraer esto de ellos?
Respuesta
¿Demasiados anuncios?
Steve Evans
Puntos
155
Los certificados Root de Apple están disponibles a través de Llavero.app en el Sistema llavero. Antes de gastar demasiado esfuerzo, confirme que los certificados que está tratando de extraer realmente difieren de los del llavero del sistema.
Asegúrese de revisar el código fuente publicado por Apple para sus herramientas, firma de código y verificación de firmas en https://opensource.apple.com o pregunta en la lista de correo de criptografía de Apple para charlar directamente con los ingenieros de seguridad de Apple.
¿Tal vez Mach-O?
Suponiendo que los certificados incrustados se almacenen en un data de los archivos Mach-O, consulte el artículo Análisis de archivos Mach-O para saber cómo acceder a este contenido.
La herramienta de código abierto MachOView probablemente proporcionará suficiente información para juzgar si el certificado está codificado como un segmento Mach-O.
0 votos
¿Cómo sabe que los binarios ejecutables tienen certificados incrustados? ¿Puede ver los certificados utilizando la función herramientas de formato de archivo de objetos ?
0 votos
@GrahamMiln Los he abierto con un editor hexadecimal.