Come posso verificare se Notepad ++ stia utilizzando una versione della libreria SciLexer.dll che è stata modificata dalla CIA?

9

Ho appena letto le note di rilascio di Notepad ++ 7.3 .3 e ho scoperto che nelle recenti rivelazioni di Wikileaks sugli strumenti di hacking della CIA c'è qualcosa controllo del blocco note ++ . Il programma stesso va bene, ma si basa su una DLL esterna, chiamata SciLexer.dll, di cui esiste una versione che è stata modificata dalla CIA e che abilita la raccolta dei dati in background. Alla luce di ciò, la versione più recente di Notepad ++ controlla la firma di quella libreria e, se non è quella giusta, semplicemente non si avvia.

Il mio problema è che sto usando un pc in cui non ho privilegi di amministratore e non posso installare / aggiornare programmi da solo, e anche chiedere all'IT di farlo è lungo perché è permesso installare solo alcuni versioni approvate e l'intera procedura, a causa delle solite complicazioni burocratiche, potrebbe richiedere settimane o mesi. Quindi, senza poter installare la versione più recente, come posso verificare se la mia versione di SciLexer.dll è buona? Esiste un modo diretto per verificare il certificato (magari utilizzando CertUtil comando)? In caso contrario, posso prendere un hash SHA-256 e verificarlo con uno noto? E quale?

Ad esempio, per avere l'hash SHA-256 del mio file posso aprire una shell ed eseguire questo comando:

certutil -hashfile "C:\Program Files (x86)\Notepad++\SciLexer.dll" SHA256

E il suo output è:

SHA256 hash of file SciLexer.dll:
ea 47 f3 18 a8 09 6b 0b 37 f0 cf 04 be 07 76 f0 33 80 27 50 57 a6 cc 10 44 28 df 38 3e d7 69 68
CertUtil: -hashfile command completed successfully.

Attualmente ho Notepad ++ v6.6.9 ed è in esecuzione su Windows 7 64 bit Enterprise.

Quindi, come posso verificare se la libreria installata sul mio pc è quella originale o no?

    
posta Fabio Turati 13.03.2017 - 13:44
fonte

1 risposta

4

Dal sito web dell'editor, puoi scaricare un archivio (zip o 7z) della versione installata sul tuo computer. Controlla la firma del tuo archivio. Quindi decomprimere l'archivio e calcolare il checksum della sua DLL (usando SHA-256 per esempio) e confrontarlo con il checksum della DLL installata. Entrambi dovrebbero essere identici.

Se il checksum è diverso, dovresti pubblicare un ticket sull'helpdesk della tua azienda con i risultati. Lascia che l'amministratore trovi la soluzione al suo problema (sostituendo la DLL o aggiornando l'applicazione).

Nel frattempo, una versione portatile di Notepad ++ è disponibile su portableapps.com . Dovresti controllare anche la sua DLL, ma non hai bisogno di privilegi più alti per installarla.

    
risposta data 13.03.2017 - 14:14
fonte

Leggi altre domande sui tag