Authenticode签名

Authenticode签名介绍

针对Authenticode类型 验证：PE文件的签名

https://learn.microsoft.com/zh-cn/windows/win32/seccrypto/example-c-program–verifying-the-signature-of-a-pe-file

注册表劫持签名dll

注册表劫持签名dll介绍

针对该类型，只需要检测注册表项值是否正常即可

Catalog安全目录的签名

很多本应该被签名的文件（以notepad.exe为例），事实上却并没有我们所说的“数字签名”选项卡。那这是否意味着该文件没有签名，并且微软也运行了这些未签名的代码呢？这个要视情况而定。虽然notepad.exe本身没有嵌入Authenticode签名，但实际上它通过目录签名这种方式进行过签名。Windows包含由许多目录文件组成的目录存储库，基本上只是Authenticode的散列表。然后，每个目录文件都被签名，以证明任何具有匹配哈希的文件源自目录文件的签名者（基本上都是Microsoft的程序）。因此，当Explorer UI不尝试查找目录签名时，几乎其他的所有签名验证工具都将执行目录查找。在PowerShell和Sysinternals Sigcheck中获取可以Authenticode签名。

针对Catalog安全目录的签名

参考： https://zhuanlan.zhihu.com/p/30032015