Разгадки Code Signing (пока - только гипотеза)

[alextutubalin]

Кросспост из блога автора. Комментировать лучше там, но можно и тут

Задал вопрос в Информатик, отчего ваша Орфо не выдает мне Secutity Warning в моем тестовом окружении, а много других программ (включая и наш RawDigger) - выдают.
Получил ответ: ничего такого не делали, никакой уличной магии, просто подписываем, еще вот Win7 Logo получили.
Тогда попроверял всякий пробованный варез (штук 20 разных инсталляторов) на выдачу Security Warning и на нахождение в Windows 7 Compatibility List. Получается вот что:

• Подавляющее количество инсталляторов программ из этого списка запускаются без Security Warning.
• Подавляющее количество того что не в списке - запускается с таким предупреждением.
• Исключения, коих единицы, но есть:
  • Evernote 4.5 - запускается с Warning. В списке есть версия 4 (м.б. 4.5 и 4 - считаются разными).
  • Coretemp - взлетает мухой, без Warning, хотя в списке ее нет. Правда инсталлятор представляется как IntelliQ (это такая платформа монетизации бесплатных приложений), может быть его сертифицировали под каким-то еще соусом.
    Webmoney - нет в списке, но все работает.

Есть еще такие наблюдения:

1. На свежепоставленном Win7 (в свежепоставленное состояние я его через VMWare snapshots возвращаю) все инсталляторы, которые потом выдадут Security Warning - запускаются ДОЛГО. Тот же Evernote с 70-мегабайтным дистрибутивом - секунд 30 может пройти.
   CPU при этом не загружен, т.е. все подозрения на сеть
2. Сеть тоже помониторил, идет обращение к DNS спрашивают вот такое:
   45573+ AAAA? dns.msftncsi.com. И ему отвечают, но ни с одним из имеющихся в ответе адресов - дальше общения я не вижу.
   С учетом первого пункта, похоже что оно хочет что-то в сети спросить, но не спрашивает.
   Дальше "нечто" кэшируется и повторный запуск того же инсталлятора приводит к мгновенному показу Security Warning.
   "Хорошие" инсталляторы - паузы из пункта 1 не имеют, делаю вывод что проверка на хорошесть - локальная.
3. Какой-либо корреляции с наличием Alternate Data Streams (признака "файл скачан из интернета") - нету:
   • Этот признак есть и на "плохих" и на "хороших" инсталляторах.
   • На других и хороших и плохих - его нет.
   • Через сеть он все едино не виден.
4. Какой-либо корреляции с сертификатом, которым подписан инсталлятор - нету. Среди "хороших" есть Microsoft-овский апдейт к Mobile Device Center, подписанный MS-овским сертификатом. Среди "плохих" - "NT Testing Tool" (MS-овская же), подписанная той же цепочкой, за исключением последнего ключа. Обе цепочки (и подпись и timestamp) растут из Microsoft Root Authority.

Сухой остаток: если бы не Webmoney, я бы с чистой совестью списал бы наблюдаемую разницу на 'Win7 Compatible Logo'. А так - осадочек пока остается. Но не вижу, куда копать еще.