Meu .NET exe é assinado usando signtool. Usando este código, posso verificar a validade do próprio certificado:

var cert = X509Certificate.CreateFromSignedFile("application.exe");
var cert2 = new X509Certificate2(cert.Handle);
bool valid = cert2.Verify();

No entanto, isso verifica apenas o próprio certificado, e não a assinatura do EXE. Portanto, se o EXE for violado, esse método não o detectará.

Como posso verificar a assinatura?