安全技术 · 2021年9月28日

如何从Windows注册表中提取证书

Windows 注册表中包含有二进制块(Blob),有些二进制块用于存储证书,如下所示:

以下的注册表位置都存储证书:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates

HKEY_CURRENT_USER\SOFTWARE\Microsoft\SystemCertificates

证书通过 DER格式进行编码,总是以 0x30 为开始。但可以发现,在注册表中找到的二进制块并非以 0x30 开头,这是因为证书前缀存储了一些元数据。搜索 0x30 即可找到证书的位置:

并非所有以 0x30 开头的字节序列都是有效的证书。从 0x30 8 开始搜索,提取该字节序列直到二进制块的结尾找到了该证书。

该方法并不精确,通过查看几个二进制块可以发现:每个证书都以 4 字节为前缀,这些字节对证书的长度进行编码(小端序),然后此长度字段以不变的 8 字节为前缀:20 00 00 00 01 00 00 00。

看起来像是 TLV的格式,每个证书的类型都是 20 00 00 00 01 00 00 00。工具 format-bytes.py是解析二进制数据的工具,可用于解析 TLV 记录,如下所示:

<QI中 <表示小端序,Q表示 unsigned long long(8 字节),I表示 unsigned int(4字节)。t:0意味着类型字段是第一个字段。l:1意味着长度字段是第二个字段。

可以看出,该二进制块包含 11 个 TLV 记录,最后一个长度为 1239,并且包含证书类型 0x100000020L。

进一步的研究表明,类型字段实际上由两个字段组成:属性标识符字段与保留字段,均为四个字节。属性标识符的可能值可以在 Windows 开发中心和 wincrypt.h 头文件中找到。

这意味着二进制块内的 TLV 记录可以使用 format-bytes.py -f “tlv=f:<III,t:0,l:2” blob.bin进行解析:

例如,记录 5 的类型为 0x0b 代表是 CERT_FRIENDLY_NAME_PROP_ID

如上图所示,包含 UTF16 编码的发行者名称。如下所示,证书本身位于记录 11 内(类型为 0x20):

要提取证书请使用 -d执行二进制 dump 并写入本地文件:

结论

二进制数据块中经常出现 TLV 记录,如果想要识别二进制块中的数据,请多比较几个示例可能就会发现定义的模式。证书与元数据一起存储在注册表中,元数据结构为 TrLV 记录。证书本身存储在记录内部,类型为 0x20。

参考来源

NVISO