文章总结： SignToolEx利用MicrosoftDetours劫持signtool.exe进程，通过修改过期代码签名证书使其显示有效，从而在不改系统时间的情况下使用泄露证书签名。尽管无法伪造时间戳，但该工具可使Windows10等系统接受并加载使用过期证书签名的驱动程序，便于安全测试与红队作业。 综合评分： 75 文章分类： 安全工具,免杀,红队,二进制安全

SignToolEx 签名工具

TtTeam

2026年2月1日 16:38 海南

SignToolEx 使用 Microsoft Detours 钩子库劫持“signtool.exe”进程，并修改过期的代码签名证书，使其看起来有效，从而在不更改系统时钟的情况下进行代码签名。这允许使用过期（泄露）的证书进行代码签名，但无法伪造 Authenticode 时间戳。某些版本的 Windows（例如 Windows 10）即使使用过期证书签名，也会接受并加载 .sys 设备驱动程序。

此工具的使用方法与“signtool.exe”相同，只需运行“SignToolEx.exe”即可。它需要当前目录下有 SignToolExHook.dll，并且“signtool.exe”已添加到 %PATH% 环境变量中。

C:\tools\SignToolEx>SignToolEx.exe sign /v /f nvidia0.pfx /p **redacted** /fd SHA256 c:\temp\bin.exeThe following certificate was selected:    Issued to: NVIDIA Corporation    Issued by: VeriSign Class 3 Code Signing 2010 CA    Expires:   Sat Jul 26 17:59:59 3000    SHA1 hash: 30632EA310114105969D0BDA28FDCE267104754FDone Adding Additional StoreSuccessfully signed: c:\temp\bin.exeNumber of files successfully Signed: 1Number of warnings: 0Number of errors: 0

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：TtTeam 《SignToolEx 签名工具》