Sigcheck v2.90
Por Mark Russinovich
Publicado: 19 de julio de 2022
Descarga Sigcheck(664 KB)
Introducción
Sigcheck es una utilidad de línea de comandos que muestra el número de versión del archivo, la información de marca de tiempo y los detalles de la firma digital, incluidas las cadenas de certificados. También incluye una opción para comprobar el estado de un archivo en VirusTotal, un sitio que realiza el examen automatizado de archivos en más de 40 motores antivirus, y una opción para cargar un archivo para el análisis.
Uso:
sigcheck [-a][-h][-i][-e][-l][-n][[-s]|[-c|-ct]|[-m]][-q][-r][-u][-vt][-v[r][s]][-f catalog file] <file or directory>
sigcheck -d [-c|-ct] <file or directory>
usage: sigcheck -t[u][v] [-i] [-c|-ct] <certificate store name|*>
| Parámetro | Descripción |
|---|---|
| -a | Mostrar información de la versión extendida. La medida de entropía notificada es los bits por byte de información del contenido del archivo. |
| -accepteula | Acepte silenciosamente el EULA de Sigcheck (sin solicitud interactiva) |
| -c | Salida CSV con delimitador de comas |
| -ct | Salida CSV con delimitador de tabulación |
| -d | Volcado de contenido de un archivo de catálogo |
| -e | Examinar imágenes ejecutables solo (independientemente de su extensión) |
| -f | Buscar firma en el archivo de catálogo especificado |
| -h | Mostrar hashes de archivo |
| -i | Mostrar el nombre del catálogo y la cadena de firma |
| -l | Recorrer vínculos simbólicos y uniones de directorios |
| -m | Manifiesto de volcado |
| -n | Mostrar solo el número de versión del archivo |
| -o | Realiza búsquedas de Virus Total de hash capturados en un archivo CSV capturado anteriormente por Sigcheck cuando se usa la opción -h. Este uso está pensado para exámenes de sistemas sin conexión. |
| -nobanner | No muestre el banner de inicio y el mensaje de copyright. |
| -r | Deshabilitación de la comprobación de revocación de certificados |
| -p | Compruebe las firmas en la directiva especificada, representada por su GUID. |
| -s | Recurrir a subdirectorios |
| -t[u][v] | Volcado de contenido del almacén de certificados especificado ('*' para todos los almacenes). Especifique -tu para consultar el almacén de usuarios (el almacén de máquinas es el valor predeterminado). Anexe "-v" para que Sigcheck descargue la lista de certificados raíz de Microsoft de confianza y solo muestre certificados válidos que no tengan raíz en un certificado de esa lista. Si el sitio no es accesible, authrootstl.cab o authroot.stl en el directorio actual se usan en su lugar, si están presentes. |
| -u | Si la comprobación virusTotal está habilitada, muestre los archivos desconocidos por VirusTotal o que tengan una detección distinta de cero; de lo contrario, muestre solo los archivos sin firmar. |
| -v[rs] | Consulte VirusTotal (www.virustotal.com) para malware basado en el hash de archivo. Agregue "r" para abrir informes para archivos con detección distinta de cero. Los archivos notificados como no examinados previamente se cargarán en VirusTotal si se especifica la opción "s". Es posible que los resultados del examen de nota no estén disponibles durante cinco o más minutos. |
| -vt | Antes de usar las características de VirusTotal, debe aceptar los términos de servicio de VirusTotal. Vea: https://www.virustotal.com/en/about/terms-of-service/ Si no ha aceptado los términos y omite esta opción, se le pedirá de forma interactiva. |
Una manera de usar la herramienta es comprobar si hay archivos sin firmar en \Windows\System32 los directorios con este comando:
sigcheck -u -e c:\windows\system32
Debe investigar el propósito de los archivos que no están firmados.
Descarga Sigcheck(664 KB)
Se ejecuta en:
- Cliente: Windows 8.1 y versiones posteriores
- Servidor: Windows Server 2012 y versiones posteriores
- Nano Server: 2016 y versiones posteriores
Más información
- Búsqueda de malware con las herramientas sysinternals
En esta presentación, Mark muestra cómo usar las herramientas de Sysinternals para identificar, analizar y limpiar malware.