关於code signing [程序码签章] 这档事 ...

所谓的程序码签章，就是一个指一个数位的签章，在编译好的软件上签章。软件一旦被重新编译、修改，上面的签章就会自然消失。签章，不代表你的软件就是无毒无害的，只是说多一层保障而已。

网路上的教学都是建议使用自然人凭证或花钱购买的形式。。。

那有没有办法产生出测试用的签章呢?

作法:

1. 先下载Windows 10 SDK software Development kit并安装
   
   PS: 安装後长这样 ...
   1-1 偷懒版的作法，直接下载signtool.exe
   1-1-1 下载点
   
2. 使用系统管理员打开powershell ISE
3. 启用ExecutionPolicy 为 Bypass

Set-ExecutionPolicy Bypass -Scope Process

[笔记] 如果没有做这个动作，凭证会产生失败
4. 撰写凭证脚本并执行

[笔记] 请参考 产生凭证的powershell脚本
5. 执行後会看到有一个mycert.pfx的凭证档被产生

6. signtool 的位置如下

[笔记] 如果是直接下载，就不需要去找位置了
7. 向程序做签章的动作

signtool.exe sign /f mycert.pfx /p helloworld demo.exe

8. 签章做完啦
   
9. 检查程序属性
   

SignTool 套件签署的一般命令列语法是：

• SignTool sign [options] <filename(s)>
  使用 .pfx 档案中的凭证签署您的应用程序套件，使用语法：

SignTool sign /fd <Hash Algorithm> /a /f <Path to Certificate>.pfx /p <Your Password> <File path>.appx

引用自sign-app-package-using-signtool

10. 使用virtustotal检查是否还会被侦测成病毒
    未使用签章，侦测到六种木马或後门
    
    使用签章後，侦测到四种木马或後门
    
    [笔记] 使用签章後居然没有被AV (防毒软件)认定为病毒或後门了
    

结论:
使用数位签章，只代表你的程序不容易被窜改，但不代表安全，但好像可以拿来绕过AV ，笔者使用来签章的程序是使用pyinstaller 包出来的，正常情况下会被windows Defender 视为病毒或後门。