Sigcheck v2.90

Von Mark Russinovich

Veröffentlicht: 19. Juli 2022

DownloadSigcheck(664 KB)

Einführung

Sigcheck ist ein Befehlszeilenprogramm, das Dateiversionsnummer, Zeitstempelinformationen und digitale Signaturdetails einschließlich Zertifikatketten anzeigt. Es enthält auch eine Option zum Überprüfen des Status einer Datei auf VirusTotal, einer Website, die automatisierte Dateiscans mit über 40 Antivirenmodulen durchführt, und eine Option zum Hochladen einer Datei zum Scannen.

Verwendung:

sigcheck [-a][-h][-i][-e][-l][-n][[-s]|[-c|-ct]|[-m]][-q][-r][-u][-vt][-v[r][s]][-f catalog file] <file or directory>

sigcheck -d [-c|-ct] <file or directory>

usage: sigcheck -t[u][v] [-i] [-c|-ct] <certificate store name|*>
Parameter Beschreibung
-a Erweiterte Versionsinformationen anzeigen. Das gemeldete Entropiemaß ist die Bits pro Byte von Informationen des Inhalts der Datei.
-accepteula Akzeptieren Sie die Sigcheck EULA (keine interaktive Eingabeaufforderung) im Hintergrund.
-c CSV-Ausgabe mit Trennzeichen
-ct CSV-Ausgabe mit Tabstopptrennzeichen
-d Inhaltsabbild einer Katalogdatei
-e Nur ausführbare Bilder scannen (unabhängig von ihrer Erweiterung)
-f Suchen Nach Signatur in der angegebenen Katalogdatei
-h Dateihashes anzeigen
-i Katalogname und Signaturkette anzeigen
-l Durchlaufen symbolischer Verknüpfungen und Verzeichnisverknüpfungen
-m Dumpmanifest
-n Nur Dateiversionsnummer anzeigen
-o Führt die Virus Total-Nachschlagevorgänge von Hashes aus, die in einer CSV-Datei erfasst wurden, die zuvor von Sigcheck erfasst wurden, wenn die Option "-h" verwendet wird. Diese Verwendung ist für Scans von Offlinesystemen vorgesehen.
-nobanner Zeigen Sie nicht das Startbanner und die Copyrightnachricht an.
-r Deaktivieren der Überprüfung auf Zertifikatsperrung
-p Überprüfen Sie Signaturen anhand der angegebenen Richtlinie, dargestellt durch die GUID.
-s Rekursieren von Unterverzeichnissen
-t[u][v] Dumpinhalt des angegebenen Zertifikatspeichers ('*' für alle Speicher).
Geben Sie "-tu" an, um den Benutzerspeicher abzufragen (Computerspeicher ist die Standardeinstellung).
Fügen Sie "-v" an, damit Sigcheck die vertrauenswürdige Microsoft-Stammzertifikatliste herunterlädt und nur gültige Zertifikate ausgibt, die nicht mit einem Zertifikat in dieser Liste verbunden sind. Wenn auf die Website nicht zugegriffen werden kann, werden stattdessen authrootstl.cab oder authroot.stl im aktuellen Verzeichnis verwendet, sofern vorhanden.
-u Wenn die VirusTotal-Überprüfung aktiviert ist, zeigen Sie Dateien an, die von VirusTotal unbekannt sind oder keine Nullerkennung aufweisen, andernfalls werden nur nicht signierte Dateien angezeigt.
-v[rs] Abfrage VirusTotal (www.virustotal.com) für Schadsoftware basierend auf Dateihash.
Fügen Sie "r" hinzu, um Berichte für Dateien mit Nicht-Null-Erkennung zu öffnen.
Dateien, die als noch nicht gescannt gemeldet wurden, werden in VirusTotal hochgeladen, wenn die Option 's' angegeben ist. Die Ergebnisse der Überprüfung sind möglicherweise für fünf oder mehr Minuten nicht verfügbar.
-vt Bevor Sie VirusTotal-Features verwenden, müssen Sie die Nutzungsbedingungen von VirusTotal akzeptieren. Siehe: https://www.virustotal.com/en/about/terms-of-service/ Wenn Sie die Bedingungen nicht akzeptiert haben und diese Option weglassen, werden Sie interaktiv aufgefordert.

Eine Möglichkeit, das Tool zu verwenden, besteht darin, mit diesem Befehl nach nicht signierten Dateien in Ihren \Windows\System32 Verzeichnissen zu suchen:

sigcheck -u -e c:\windows\system32

Sie sollten den Zweck aller Dateien untersuchen, die nicht signiert sind.

DownloadSigcheck(664 KB)

Wird ausgeführt auf:

  • Client: Windows 8.1 und höher
  • Server: Windows Server 2012 und höher
  • Nano Server: 2016 und höher

Weitere Informationen