Ich weiß es jetzt nicht, aber um für Virenscanner nicht böse dazustehn, wird man das bestimmt nicht einfach "blind" und ohne Verlinkung hinten an die EXE anhängen.

Also entweder das Zertifikat wird als Ressource eingefügt, was du leicht mit einem Ressource-Editor/Hacker/... nachsehn kannst.
Oder es wird als Section ins PE-Format integriert. IMAGE_SECTION_HEADER ... da gibt es auch ein paar Progrämmchen, welche dir die Sektionen auflisten.