,版本是由WIN_CERT_REVISION_XXX定义,类型是WIN_CERT_TYPE_XXX定义。因为证书不会被映射到内存里,所以IMAGE_DATA_DIRECTORY[IMAGE_DIRECTORY_ENTRY_SECURITY]里的VirtualAddress存的是文件偏移。 利用: Gamaredon向带有有效签名的PE中嵌入脚本 (qq.com)