3

Хэши SHA256, отображаемые / экспортируемые AppLocker, отличаются от хешей, генерируемых другими инструментами.

Кто-нибудь может объяснить почему?

Пример: Putty.exe 0.62.

Я использую командлет PowerShell Get-AppLockerFileInformation для получения хэша AppLocker здесь.

1 ответ1

4

Хэш E051 ..., который вы видите, не является хешем SHA256. Это хеш Authenticode .

AppLocker вычисляет само значение хеша. Внутренне он использует хеш-код Authenticode SHA2 для переносимых исполняемых файлов (Exe и Dll) и установщиков Windows и хэш-файл плоских файлов SHA2 для остальных.

Кажется, Putty.exe не имеет цифровой подписи. Тем не менее, AppLocker - установив, что файл является исполняемым файлом, вычисляет хэш Authenticode.

Для получения подробной информации о том, как вычисляется хеш, см. Расчет хэша PE изображения в этом документе Microsoft.

Теперь о том, почему AppLocker (или, что более вероятно, сам командлет) утверждает, что это хеш SHA256, остается загадкой. Это может быть косметическая ошибка.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .