Sigcheck v2.90
Von Mark Russinovich
Veröffentlicht am: 19. Juli 2022
Sigcheck herunterladen(664 KB)
Einführung
Sigcheck ist ein Befehlszeilenprogramm, das Dateiversionsnummer, Zeitstempelinformationen und Details zur digitalen Signatur, einschließlich Zertifikatketten, anzeigt. Es enthält auch eine Option zum Überprüfen des Status einer Datei auf VirusTotal, einer Website, die automatisierte Dateiüberprüfung für über 40 Antiviren-Engines durchführt, und eine Option zum Hochladen einer Datei zum Scannen.
usage:
sigcheck [-a][-h][-i][-e][-l][-n][[-s]|[-c|-ct]|[-m]][-q][-r][-u][-vt][-v[r][s]][-f catalog file] <file or directory>
sigcheck -d [-c|-ct] <file or directory>
usage: sigcheck -t[u][v] [-i] [-c|-ct] <certificate store name|*>
| Parameter | Beschreibung |
|---|---|
| -a | Anzeigen erweiterter Versionsinformationen. Das gemeldete Entropie-Measure ist die Anzahl der Bits pro Byte an Informationen des Dateiinhalts. |
| -accepteula | Akzeptieren der Sigcheck EULA (keine interaktive Eingabeaufforderung) |
| -c | CSV-Ausgabe mit Kommastrennzeichen |
| -ct | CSV-Ausgabe mit Tabtrennzeichen |
| -d | Sichern des Inhalts einer Katalogdatei |
| -e | Nur ausführbare Images überprüfen (unabhängig von ihrer Erweiterung) |
| -f | Suchen nach Signatur in der angegebenen Katalogdatei |
| -h | Anzeigen von Dateihashes |
| -i | Anzeigen von Katalogname und Signaturkette |
| -l | Durchlaufen symbolischer Links und Verzeichnisverbindungen |
| -m | Speichern des Manifests |
| -n | Nur Dateiversionsnummer anzeigen |
| -o | Führt Gesamtvirussuchen von Hashes durch, die in einer CSV-Datei erfasst wurden, die zuvor von Sigcheck erfasst wurde, wenn Sie die Option -h verwenden. Diese Verwendung ist für Überprüfungen von Offlinesystemen vorgesehen. |
| -nobanner | Zeigt kein Startbanner und keine Copyrightmeldung an. |
| -r | Deaktivieren der Überprüfung auf Zertifikatsperrung |
| -p | Überprüfen Sie die Signaturen anhand der angegebenen Richtlinie, die durch ihre GUID dargestellt wird. |
| -s | Recurse-Unterverzeichnisse |
| -t[u][v] | Speichern von Inhalten eines angegebenen Zertifikatspeichers („*“ für alle Speicher). Geben Sie -tu an, um den Benutzerspeicher abzufragen (der Computerspeicher ist die Standardeinstellung). Fügen Sie „-v“ an, damit Sigcheck die Liste der vertrauenswürdigen Microsoft-Stammzertifikate herunterlädt und nur gültige Zertifikate ausgibt, die nicht in einem Zertifikat in dieser Liste enthalten sind. Wenn auf die Website nicht zugegriffen werden kann, werden stattdessen authrootstl.cab oder authroot.stl im aktuellen Verzeichnis verwendet, sofern vorhanden. |
| -u | Wenn die VirusTotal-Überprüfung aktiviert ist, werden Dateien angezeigt, die von VirusTotal unbekannt sind oder Nicht-Null-Erkennung haben, andernfalls werden nur nicht signierte Dateien angezeigt. |
| -v[rs] | Abfragen von VirusTotal (www.virustotal.com) nach Schadsoftware basierend auf Dateihash. Fügen Sie „r“ hinzu, um Berichte für Dateien mit Erkennung ungleich Null zu öffnen. Dateien, die als noch nicht überprüft gemeldet wurden, werden in VirusTotal hochgeladen, wenn die Option „s“ angegeben ist. Beachten Sie, dass die Überprüfungsergebnisse möglicherweise erst nach fünf Minuten (oder noch später) verfügbar sind. |
| -vt | Bevor Sie VirusTotal-Features verwenden, müssen Sie die Nutzungsbedingungen von VirusTotal akzeptieren. Siehe: https://www.virustotal.com/en/about/terms-of-service/ Wenn Sie die Bedingungen nicht akzeptiert haben und diese Option auslassen, werden Sie interaktiv dazu aufgefordert. |
Eine Möglichkeit, das Tool zu verwenden, besteht darin, mit dem folgenden Befehl nach nicht signierten Dateien in Ihren \Windows\System32-Verzeichnissen zu suchen:
sigcheck -u -e c:\windows\system32
Sie sollten den Zweck von Dateien untersuchen, die nicht signiert sind.
Sigcheck herunterladen(664 KB)
Läuft auf:
- Client: Windows 8.1 und höher
- Server: Windows Server 2012 und höher
- Nano Server: 2016 und höher
Weitere Informationen
- Schadsoftwaresuche mit den Sysinternals-Tools
In dieser Präsentation zeigt Mark, wie Sie die Sysinternals-Tools verwenden, um Schadsoftware zu identifizieren, zu analysieren und zu bereinigen.