Есть подписанный бинарник. Когда тискаеш по нему правой кнопокй мыши и выбираеш свойства, то одной из закладок (если файл подписан) отображается "Digital Signature". Ну а там уже отображается название фирмы подписчика... "Microsoft" или "Firefox" и т.д. Каким макаром это название сигнера выдрать, имея этот самый бинарник?
в pecoff.pdf см. пункт 5.7. The Attribute Certificate Table , там ссылаются на Microsoft Distributed System Architecture, Attribute Certificate Architecture Specification (я этот документ что-то не нашел), но примерно надо так: - считать в буфер данные (на них укажет IMAGE_DIRECTORY_ENTRY_SECURITY) - в нем после первых двух двордов начинается .spc файл (Software Publisher Certificate) - затем разобрать документацию по PKCS #7 signed-data object that contains X.509 certificates - просмотреть и проверить детали в отладчике
