- Code: Select all
02.03.2019 16:35:59,42 - Info: Downloaded/validated http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/02/windows10.0-kb4487020-x64_c24ea4715fbceb92a7c0429707acba7e559b13e5.cab to ..\client\w100-x64\glb
02.03.2019 16:35:59,42 - Info: Downloaded/validated http://download.windowsupdate.com/c/msdownload/update/software/secu/2019/02/windows10.0-kb4487026-x64_2d66ec44ecae968815969eee6e4a67ab43285b4e.cab to ..\client\w100-x64\glb
02.03.2019 16:36:05,02 - Warning: Deleted unsigned file "G:\Projekte\wsusoffline_current\client\w100-x64\glb\windows10.0-kb4487020-x64_c24ea4715fbceb92a7c0429707acba7e559b13e5.cab"
02.03.2019 16:36:05,02 - Warning: Deleted unsigned file "G:\Projekte\wsusoffline_current\client\w100-x64\glb\windows10.0-kb4487026-x64_2d66ec44ecae968815969eee6e4a67ab43285b4e.cab"
02.03.2019 17:05:34,54 - Info: Downloaded/validated http://download.windowsupdate.com/d/msdownload/update/software/secu/2018/08/offowc-x-none_12f0a2cac32ff7baf38c9198403be5f9d36a4227.cab to ..\client\ofc\glb
02.03.2019 17:06:20,85 - Warning: Deleted unsigned file "G:\Projekte\wsusoffline_current\client\ofc\glb\offowc-x-none_12f0a2cac32ff7baf38c9198403be5f9d36a4227.cab"
Die beiden Windows-10-Updates werden bei einer manuellen Überprüfung mit Sigcheck schlicht als "Unsigned" bezeichnet. Die in die Dateinamen eingebetteten SHA-1-Hashe sind aber gültig, wie Sigcheck und Hashdeep unabhängig voneinander bestätigen:
- Code: Select all
G:\Projekte\wsusoffline_current\bin>sigcheck.exe -h windows10.0-kb4487020-x64_c24ea4715fbceb92a7c0429707acba7e559b13e5.cab
Sigcheck v2.1 - File version and signature viewer
Copyright (C) 2004-2014 Mark Russinovich
Sysinternals - www.sysinternals.com
G:\Projekte\wsusoffline_current\bin\windows10.0-kb4487020-x64_c24ea4715fbceb92a7c0429707acba7e559b13e5.cab:
Verified: Unsigned
File date: 02:23 08.02.2019
Publisher: n/a
Description: n/a
Product: n/a
Prod version: n/a
File version: n/a
MachineType: n/a
MD5: 5DD875A7AED812DD0AA298B0EF938771
SHA1: C24EA4715FBCEB92A7C0429707ACBA7E559B13E5
PESHA1: n/a
PE256: n/a
SHA256: ACD3222C62BFF797089CF4A74C6C17A3F99CCD7BD16B82372C59F30D6D8B6B8B
G:\Projekte\wsusoffline_current\bin>sigcheck.exe -h windows10.0-kb4487026-x64_2d66ec44ecae968815969eee6e4a67ab43285b4e.cab
Sigcheck v2.1 - File version and signature viewer
Copyright (C) 2004-2014 Mark Russinovich
Sysinternals - www.sysinternals.com
G:\Projekte\wsusoffline_current\bin\windows10.0-kb4487026-x64_2d66ec44ecae968815969eee6e4a67ab43285b4e.cab:
Verified: Unsigned
File date: 00:02 08.02.2019
Publisher: n/a
Description: n/a
Product: n/a
Prod version: n/a
File version: n/a
MachineType: n/a
MD5: E2BA9E0BE0D2760E69269A32334A958E
SHA1: 2D66EC44ECAE968815969EEE6E4A67AB43285B4E
PESHA1: n/a
PE256: n/a
SHA256: 17A49CA8F4140EC8CCF8FC72F3F250A00D8B204DF3A085ADC8F927E6CBE69CA3
G:\Projekte\wsusoffline_current\bin>..\client\bin\hashdeep.exe -b -c sha1 windows10.0-kb4487020-x64_c24ea4715fbceb92a7c0429707acba7e559b13e5.cab windows10.0-kb4487026-x64_2d66ec44ecae968815969eee6e4a67ab43285b4e.cab
%%%% HASHDEEP-1.0
%%%% size,sha1,filename
## Invoked from: G:\Projekte\wsusoffline_current\bin
## G:\Projekte\wsusoffline_current\bin> ..\client\bin\hashdeep.exe -b -c sha1 windows10.0-kb4487020-x64_c24ea4715fbceb92a7c0429707acba7e559b13e5.cab windows10.0-kb4487026-x64_2d66ec44ecae968815969eee6e4a67ab43285b4e.cab
##
1309041865,c24ea4715fbceb92a7c0429707acba7e559b13e5,windows10.0-kb4487020-x64_c24ea4715fbceb92a7c0429707acba7e559b13e5.cab
1434944292,2d66ec44ecae968815969eee6e4a67ab43285b4e,windows10.0-kb4487026-x64_2d66ec44ecae968815969eee6e4a67ab43285b4e.cab
Das bedeutet, dass diese Dateien unbeschädigt heruntergeladen wurden und tatsächlich unsigniert sind.
Die manuelle Überprüfung der Office-Datei mit Sigcheck ergibt:
- Code: Select all
G:\Projekte\wsusoffline_current\bin>sigcheck -h offowc-x-none_12f0a2cac32ff7baf38c9198403be5f9d36a4227.cab
Sigcheck v2.1 - File version and signature viewer
Copyright (C) 2004-2014 Mark Russinovich
Sysinternals - www.sysinternals.com
G:\Projekte\wsusoffline_current\bin\offowc-x-none_12f0a2cac32ff7baf38c9198403be5f9d36a4227.cab:
Verified: Die Signatur des Zeitstempels bzw. des Zertifikats konnte nicht bestätigt werden oder ist ungültig.
File date: 18:49 01.08.2018
Publisher: Microsoft Corporation
Description: n/a
Product: n/a
Prod version: n/a
File version: n/a
MachineType: n/a
MD5: 597D76D2770477C9EC299C40CDD859CE
SHA1: 12F0A2CAC32FF7BAF38C9198403BE5F9D36A4227
PESHA1: 5DA51E6898BCCDA43A6336E663A6873CFFBFBF30
PE256: n/a
SHA256: A937A012EEBE5F68BD862D6E62282E1A54AF04784FC95AE378E44173897629F8
Der in den Dateinamen eingebettete SHA-1-Hash ist aber wiederum gültig:
- Code: Select all
G:\Projekte\wsusoffline_current\bin>..\client\bin\hashdeep.exe -c sha1 offowc-x-none_12f0a2cac32ff7baf38c9198403be5f9d36a4227.cab
%%%% HASHDEEP-1.0
%%%% size,sha1,filename
## Invoked from: G:\Projekte\wsusoffline_current\bin
## G:\Projekte\wsusoffline_current\bin> ..\client\bin\hashdeep.exe -c sha1 offowc-x-none_12f0a2cac32ff7baf38c9198403be5f9d36a4227.cab
##
3342058,12f0a2cac32ff7baf38c9198403be5f9d36a4227,G:\Projekte\wsusoffline_current\bin\offowc-x-none_12f0a2cac32ff7baf38c9198403be5f9d36a4227.cab
Das bedeutet, dass die Datei unbeschädigt ist, und dass tatsächlich nur das Zertifikat abgelaufen ist (oder ähnliches).
Vielleicht liegt es auch am alten Windows XP oder der alten Version von Sigcheck, aber ich glaube das eher nicht:
- Wenn man das alte rootsupd.exe auf Windows XP installiert, dann sind die Root-Zertifikate, soweit bekannt, auf dem aktuellen Stand.
- Wenn doch ein Root-Zertifikat fehlt, dann bekommt man von Sigcheck auch eine entsprechende Fehlermeldung, zum Beispiel "A certificate chain could not be built to a trusted root authority".
https://stackoverflow.com/questions/471 ... -authority
https://blogs.msdn.microsoft.com/smonda ... authority/ - Wenn bei Windows XP ein Zertifikat fehlt, dann fehlt es wahrscheinlich auch bei anderen, älteren Systemen: Bei einem frisch installierten Windows 7 fehlen auch zwei Root-Zertifikate, Microsoft Root Certificate Authority 2010 und Microsoft Root Certificate Authority 2011.
https://docs.microsoft.com/de-de/visual ... ew=vs-2017