Comment extraire les certificats X.509 incorporés dans des exécutables?

Cela devrait être très simple, mais je suis incapable de trouver une réponse simple à cette question. J'ai quelques binaires Mach-O dans lesquels des certificats sont intégrés. Certaines de ces signatures peuvent ne pas être des signatures, mais plutôt des certificats racine utilisés par le code pour vérifier d'autres signatures. Certains d'entre eux pourraient également être des signatures. Je travaille sur certains des exécutables principaux d'Apple ici, alors cela pourrait aider. Comment puis-je les extraire?

Les certificats racine d'Apple sont disponibles via Keychain.app dans le trousseau Système . Tous les deux déploient trop d’efforts, confirmez que les certificats que vous essayez d’extraire sont vraiment différents de ceux du trousseau Système.

Consultez le code source publié d'Apple pour ses outils, sa signature et sa vérification de signature à l' adresse https://opensource.apple.com ou demandez à la liste de diffusion pour la cryptographie Apple de dialoguer directement avec les ingénieurs en sécurité d'Apple.

Mach-O Peut-être?

En supposant que les certificats incorporés soient stockés dans un datasegment des fichiers Mach-O, consultez l'article Analyse de fichiers Mach-O pour plus d'informations sur la procédure d'accès à ce contenu.

L'outil open source MachOView fournira probablement suffisamment d'informations pour déterminer si le certificat est codé en tant que segment Mach-O.