系統套用知識：Windows操作系統中神秘的數位簽名

[psac]

　大家知道嗎？微軟發怖的具有數位簽名的SP2才是正式版本，這是怎麼一回事呢？

一、Windows的文件保護功能

　　在Windows 2000以前的Windows版本中，安裝操作系統之外的軟體，可能會覆蓋掉一些共享的系統檔案，例如動態連接庫(*.dll文件)、可執行文件(*.exe)，這樣可能會導致程序執行不穩定、系統出現故障，這主要是由於所謂的DLL陷阱所導致。

　　為了徹底解決這一問題，在Windows 2000和Windows XP中，微軟引入了「Windows文件保護」機制用來防止取代受到保護的系統檔案，包括*.sys、*.dll、*.ocx、*.ttf、*.fon、*.exe等檔案類型的文件，Windows文件保護在後台自動執行，可以保護Windows安裝程序安裝的所有文件。

Windows文件保護能夠檢測到其他程序要取代或移動受保護的系統檔案的意圖，那麼它是依據什麼來檢測的呢？
其實，Windows文件保護是通過檢測文件的數位簽名，以確定新文件的版本是否為正確的Microsoft版本，如果文件版本不正確，Windows文件保護會自動使用dllcache資料夾或Windows中儲存於的備份檔案取代該檔案，如果Windows文件保護無法定位相應的文件，那麼會提示用戶輸入該位置或插入安裝光碟。

　　二、認識數位簽名

　　數位簽名是允許用戶驗證的，如果某文件沒有有效的數位簽名，那麼將無法確保該檔案確實來自它所宣告的來源，或者無法確保它在發行之後未被篡改過(可能由病毒篡改)。

此時，比較安全的做法是，除非你確定該檔案的新增者而且知道其內容，那麼才能安全地開啟，否則建議不要輕易開啟該檔案。


凡是通過了微軟數位簽名的硬體或軟體，其外包裝上一般都會出現「為Microsoft Windows XP設計(Designed for Microsoft Windows XP)」的徽標。

　　在電腦上安裝新軟體時，系統檔案和設備驅動程式文件有時會被未經過簽名的或不相容的版本覆蓋，導致系統不穩定。

隨Windows XP一起提供的系統檔案和設備驅動程式文件都有Microsoft數位簽名，這表明這些文件都是原始的未更改過的系統檔案，或者它們已被Microsoft同意可以用於Windows。在Windows 2000/XP中提供了「文件簽名驗證」工具(見圖1)，Windows 9x則提供了「系統檔案檢查器」，我們可以通過這些工具來檢查系統檔案的數位簽名狀態。



圖1

　　預設值情況下，Windows文件保護始終處於啟用狀態，同時允許Windows數位簽名文件取代現有文件。目前，簽名文件通過以下方式進行分發：Windows Service Pack、修補程式分發、操作系統昇級、Windows Update、Windows裝置管理員/類別安裝程序。

　　三、數位簽名實例秀

　　說了半天，除了保護系統檔案外，數位簽名究竟能夠給普通用戶帶來哪些好處呢？下面，我們通過幾個實例來進行說明：

　　實例1：驗證Windows XP的核心文件是否被取代

　　現在Windows XP版本有大企業版本、聯想隨機版本等，那麼如何來驗證手頭的Windows XP屬於微軟原版呢？

　　這裡，我們只要檢查Windows XP的系統檔案是否能夠通過文件簽名驗證即可。

在「開始→執行」對話視窗按鍵輸入「sigverif」指令開啟「文件簽名驗證」視窗，點擊「開始」按鈕，首先會建立文件列表，稍候會看到圖2所顯示視窗，這裡未經過數位簽名的文件大都是驅動程式文件，只要winlogon.exe、licdll.dll兩個文件未出現在列表中，那麼說明你的Windows XP未被篡改過。



圖2

　　實例2：驅動程式簽名

　　Windows XP原有的的驅動程式都通過了微軟的WHQL數位簽名，在檢視通過數位簽名的驅動程式時會看到一個圖示。


不過當我們在安裝或昇級設備驅動程式時，經常會看到圖3所顯示的警告訊息，說是「沒有通過Windows徽標測試，無法驗證它同Windows XP的相容性」，其實這是Windows XP的文件保護功能在起作用，以降低用戶安裝無保護驅動程式的風險，當然我們只要選項「仍然繼續」按鈕就可以忽略這一提示並完成驅動程式的安裝。



圖3


　　假如你覺得這個警告提示項非常煩人，那麼可以開啟「系統內容」視窗，切換到「硬體」選項頁，點擊「驅動程式簽名」按鈕進入圖4視窗，在「文件簽名驗證」下有3個選項：



圖4


　　忽略：允許該電腦安裝所有設備驅動程式，無論其是否具有數位簽名。


　　警告：當安裝程序試圖安裝沒有數位簽名的設備驅動程式時，將顯示警告消息，這是Windows XP的預設值行為。




　　阻止：阻止安裝程序安裝那些沒有數位簽名的設備驅動程式。
　　很明顯，選「忽略」選項，並設定為系統預設值選項，以後安裝或昇級設備驅動程式時，就不會彈出簽名驗證警告了。

　　實例3：將數位簽名訊息寫入日誌文件

　　開啟「文件簽名驗證」視窗，點擊「進階」按鈕進入「進階文件簽名驗證設定」對話視窗，切換到「正在記錄」選擇項，選「將文件簽名驗證結果儲存到一個日誌文件」複選框(見圖5)，如果選項「附加到現有日誌文件」可以將新的搜尋結果增加到日誌文件的末尾，選「改寫現有日誌文件」將使用新的日誌文件取代現有的日誌文件，然後按鍵輸入日誌文件的名稱，以後就可以將搜尋結果寫入文件。

　　假如你只是希望覆蓋日誌文件，那麼直接在「開始→執行」對話視窗中按鍵輸入「sigverif /defscan」指令執行即可。

　　實例4：禁用Windows的文件保護功能

　　在Windows 2000/XP的\Windows\System32目錄下有一個名為dllcache的資料夾，其中儲存了重要文件的制作備份，例如Windows XP的dllcache資料夾中有2169個重要文件，佔用364.5MB之多。如果Windows 2000/XP發現某個受保護的系統檔案被取代或損壞，那麼會從dllcache資料夾中自動恢復。

　　如果你由於某些原因而需要騰出一部分可用空間，那麼可以在「開始→執行」對話視窗中按鍵輸入「sfc /purgecache」指令清空Dllcache資料夾，注意「/」前有一個英文半形的空格字元，這樣將清除儲存在dllcache中的文件快取。


不過這樣一來，Windows文件保護就只能從Windows安裝光碟恢復系統檔案了，因此你將經常會看到提示插入Windows安裝光碟的提示，因此不建議朋友們使用該技巧，如果你希望禁用Windows文件保護的話，可以在「開始→執行」對話視窗中按鍵輸入「gpedit.msc」開啟「本機電腦原則→電腦設定→管理範本→系統」視窗，找到「Windows文件保護」組，在右側視窗中雙按「設定Windows文件保護掃瞄」項，設定為「已禁用」即可，在這裡還可以限制文件保護快取的大小和指定文件保護快取的位置。

[kyoshih]

試試看，感謝分享！...