Sigcheck v2.90
Od Mark Russinovich
Publikováno: 19. července 2022
Stáhnout Sigcheck(664 kB)
Úvod
Sigcheck je nástroj příkazového řádku, který zobrazuje číslo verze souboru, informace o časovém razítku a podrobnosti digitálního podpisu, včetně řetězů certifikátů. Obsahuje také možnost zkontrolovat stav souboru na VirusTotal, web, který provádí automatickou kontrolu souborů s více než 40 antivirovými moduly, a možnost nahrát soubor pro kontrolu.
Použití:
sigcheck [-a][-h][-i][-e][-l][-n][[-s]|[-c|-ct]|[-m]][-q][-r][-u][-vt][-v[r][s]][-f catalog file] <file or directory>
sigcheck -d [-c|-ct] <file or directory>
usage: sigcheck -t[u][v] [-i] [-c|-ct] <certificate store name|*>
| Parametr | Popis |
|---|---|
| -A | Zobrazit informace o rozšířené verzi Hlášená entropie je bity na bajt informací o obsahu souboru. |
| -accepteula | Bezobslužné přijetí eula kontroly Sigcheck (bez interaktivní výzvy) |
| -C | Výstup CSV s oddělovačem čárky |
| -Ct | Výstup CSV s oddělovačem tabulátoru |
| -D | Výpis obsahu souboru katalogu |
| -E | Kontrolovat jenom spustitelné image (bez ohledu na jejich rozšíření) |
| -F | Vyhledání podpisu v zadaném souboru katalogu |
| -H | Zobrazit hodnoty hash souborů |
| -I | Zobrazit název katalogu a podpisový řetězec |
| -L | Procházení symbolických propojení a spojení adresářů |
| -M | Výpis paměti manifestu |
| -N | Zobrazit pouze číslo verze souboru |
| -O | Při použití parametru -h provede vyhledávání hodnot hash zachytáných v souboru CSV dříve zachyceném nástrojem Sigcheck. Toto použití je určeno pro prohledávání offline systémů. |
| -nobanner | Nezobrazovat úvodní banner a zprávu o autorských právech. |
| -R | Zakázání kontroly odvolání certifikátu |
| -P | Ověřte podpisy vůči zadané zásadě reprezentované jeho identifikátorem GUID. |
| -S | Souběžné podadresáře |
| -t[u][v] | Výpis paměti obsahu zadaného úložiště certifikátů (*) pro všechna úložiště. Zadejte -tu pro dotaz do úložiště uživatelů (úložiště počítačů je výchozí). Připojte -v, aby si sigcheck stáhl důvěryhodný kořenový seznam certifikátů Microsoftu a výstupem jsou pouze platné certifikáty, které nejsou kořenové do certifikátu v daném seznamu. Pokud web není přístupný, použije se místo toho soubor authrootstl.cab nebo authroot.stl v aktuálním adresáři. |
| -U | Pokud je povolená kontrola VirusTotal, zobrazte soubory, které virusTotal nezná, nebo mají nenulovou detekci, jinak zobrazit pouze nepodepsané soubory. |
| -v[rs] | Zadejte dotaz na VirusTotal (www.virustotal.com) pro malware na základě hodnoty hash souboru. Přidáním r otevřete sestavy pro soubory s nenulovou detekcí. Pokud je zadána možnost "s", budou soubory hlášené jako nenaskenované dříve nahrané do VirusTotalu. Všimněte si, že výsledky kontroly nemusí být k dispozici po dobu pěti nebo více minut. |
| -Vt | Než začnete používat funkce VirusTotal, musíte přijmout podmínky služby VirusTotal. Viz: https://www.virustotal.com/en/about/terms-of-service/ Pokud jste podmínky nepřijali a tuto možnost vynecháte, budete interaktivně vyzváni. |
Jedním ze způsobů, jak tento nástroj použít, je pomocí tohoto příkazu zkontrolovat nepodepsané soubory v \Windows\System32 adresářích:
sigcheck -u -e c:\windows\system32
Měli byste prozkoumat účel všech souborů, které nejsou podepsané.
Stáhnout Sigcheck(664 kB)
Běží na:
- Klient: Windows 8.1 a novější
- Server: Windows Server 2012 a novější
- Nano Server: 2016 a novější
Další informace
- Proaktivní vyhledávání malwaru pomocí nástrojů Sysinternals
V této prezentaci Mark ukazuje, jak pomocí nástrojů Sysinternals identifikovat, analyzovat a vyčistit malware.