Например, PEauth.sys на Windows 7 и 8.1.
В диалоговом окне свойств файла проводника Windows не отображается вкладка «Цифровая подпись» для этого файла, но Sysinternal sigcheck.exe говорит, что он имеет цифровую подпись.
Может кто-нибудь сказать мне, почему это происходит?
Как говорится в этой статье (ссылка на которую принадлежит JosefZ), вкладка «Цифровые подписи» отображается только в том случае, если подпись находится в самом файле. Также возможно, чтобы подпись была сохранена в файле каталога, который можно найти в \Windows\System32\catroot .
Средство Sysinternals sigcheck может сообщить вам, имеет ли определенный файл встроенную подпись. Если вы передадите ему опцию -i перед именем файла, вывод будет содержать строку Catalog , а также много дополнительной информации о сертификате. Для файлов, подписанных в каталоге, в этой строке будет указан файл .cat , а файлы со встроенной подписью будут иметь свое собственное имя. Например, это первая часть (очень длинного) вывода sigcheck -i \windows\regedit.exe:
C:\Windows\regedit.exe:
Verified: Signed
Link date: 9:12 PM 10/28/2014
Signing date: 2:59 AM 11/7/2014
Catalog: C:\Windows\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Package_868_for_KB3000850~31bf3856ad364e35~amd64~~6.3.1.8.cat
Таким образом, regedit.exe имеет действительную подпись, хранящуюся в этом каталоге.