Хэши SHA256, отображаемые / экспортируемые AppLocker, отличаются от хешей, генерируемых другими инструментами.
Кто-нибудь может объяснить почему?
Пример: Putty.exe 0.62.
Случайный онлайн инструмент: d4ffa4559a1e22167933772d82cf714cd4bb7a0e79511c2424e18bdb619d63a4
AppLocker в Windows 7: E0517EA6C2896CAA97D6CBF4E8CAEA00409F03703E888E83CFBC460F7682F337
Я использую командлет PowerShell Get-AppLockerFileInformation для получения хэша AppLocker здесь.
Хэш E051 ..., который вы видите, не является хешем SHA256. Это хеш Authenticode .
AppLocker вычисляет само значение хеша. Внутренне он использует хеш-код Authenticode SHA2 для переносимых исполняемых файлов (Exe и Dll) и установщиков Windows и хэш-файл плоских файлов SHA2 для остальных.
Кажется, Putty.exe не имеет цифровой подписи. Тем не менее, AppLocker - установив, что файл является исполняемым файлом, вычисляет хэш Authenticode.
Для получения подробной информации о том, как вычисляется хеш, см. Расчет хэша PE изображения в этом документе Microsoft.
Теперь о том, почему AppLocker (или, что более вероятно, сам командлет) утверждает, что это хеш SHA256, остается загадкой. Это может быть косметическая ошибка.
