AppLocker显示/导出的SHA256哈希与其他工具生成的哈希不同。
谁能解释为什么?
例如:Putty.exe 0.62。
随机在线工具:d4ffa4559a1e22167933772d82cf714cd4bb7a0e79511c2424e18bdb619d63a4
Windows 7上的AppLocker:E0517EA6C2896CAA97D6CBF4E8CAEA00409F03703E888E83CFBC460F7682F337
我正在使用PowerShell cmdlet Get-AppLockerFileInformation在此处检索AppLocker哈希。
您看到的E051 ...哈希不是SHA256哈希。这是Authenticode哈希。
AppLocker会计算哈希值本身。在内部,它对可移植可执行文件(Exe和Dll)和Windows Installers使用SHA2 Authenticode哈希,而对其余部分使用SHA2平面文件哈希。
似乎Putty.exe
没有经过数字签名。尽管如此,AppLocker(已确定该文件是可执行文件)正在计算Authenticode哈希。
有关哈希值是如何计算的详细信息,请参阅计算PE映像散列在此Microsoft文档。
现在关于为什么AppLocker(或更可能是cmdlet本身)声称这是SHA256哈希是一个谜。这很可能是一个外观错误。
本文收集自互联网,转载请注明来源。
如有侵权,请联系 [email protected] 删除。
我来说两句