Sigcheck v2.90

Par Mark Russinovich

Publié : 19 juillet 2022

TéléchargerSigcheck(664 Ko)

Introduction

Sigcheck est un utilitaire en ligne de commande qui affiche le numéro de version de fichier, les informations d’horodatage et les détails de signature numérique, y compris les chaînes de certificats. Il inclut également une option permettant de vérifier l’état d’un fichier sur VirusTotal, un site qui effectue une analyse automatisée des fichiers sur plus de 40 moteurs antivirus et une option permettant de charger un fichier pour l’analyse.

usage:

sigcheck [-a][-h][-i][-e][-l][-n][[-s]|[-c|-ct]|[-m]][-q][-r][-u][-vt][-v[r][s]][-f catalog file] <file or directory>

sigcheck -d [-c|-ct] <file or directory>

usage: sigcheck -t[u][v] [-i] [-c|-ct] <certificate store name|*>
Paramètre Description
-a Afficher les informations de version étendue. La mesure entropie signalée est les bits par octet d’informations du contenu du fichier.
-accepteula Accepter silencieusement le CLUF Sigcheck (aucune invite interactive)
-c Sortie CSV avec délimiteur de virgules
-ct Sortie CSV avec délimiteur d’onglets
-d Contenu de vidage d’un fichier catalogue
-e Analyser uniquement les images exécutables (quelle que soit leur extension)
-f Recherchez la signature dans le fichier catalogue spécifié
-h Afficher les hachages de fichier
-i Afficher le nom du catalogue et la chaîne de signature
-l Parcourir les liens symboliques et les jonctions d’annuaire
-m Manifeste de vidage
-n Afficher uniquement le numéro de version du fichier
-o Effectue la recherche du nombre total de hachages capturés dans un fichier CSV précédemment capturé par Sigcheck lors de l’utilisation de l’option -h. Cette utilisation est destinée aux analyses des systèmes hors connexion.
-nobanner N’affichez pas la bannière de démarrage et le message de copyright.
-r Désactiver la vérification de la révocation de certificats
-p Vérifiez les signatures par rapport à la stratégie spécifiée, représentée par son GUID.
-s Récursivité des sous-répertoires
-t[u][v] Contenu de vidage du magasin de certificats spécifié ('*' pour tous les magasins).
Spécifiez -tu pour interroger le magasin d’utilisateurs (le magasin d’ordinateurs est la valeur par défaut).
Ajoutez « -v » pour que Sigcheck télécharge la liste de certificats racine Microsoft approuvée et ne génère que les certificats valides non rootés vers un certificat de cette liste. Si le site n’est pas accessible, authrootstl.cab ou authroot.stl dans le répertoire actuel sont utilisés à la place, le cas échéant.
-u Si la vérification VirusTotal est activée, affichez les fichiers inconnus par VirusTotal ou n’ayant pas de détection zéro, sinon, affichez uniquement les fichiers non signés.
-v[rs] Interrogez VirusTotal (www.virustotal.com) pour les programmes malveillants basés sur le hachage de fichier.
Ajoutez « r » pour ouvrir des rapports pour les fichiers avec une détection non nulle.
Les fichiers signalés comme non analysés précédemment seront téléchargés dans VirusTotal si l’option « s » est spécifiée. Les résultats de l’analyse de remarque peuvent ne pas être disponibles pendant cinq minutes ou plus.
-vt Avant d’utiliser les fonctionnalités VirusTotal, vous devez accepter les conditions d’utilisation de VirusTotal. Voir : https://www.virustotal.com/en/about/terms-of-service/ Si vous n’avez pas accepté les termes et que vous omettez cette option, vous serez invité de manière interactive.

Une façon d’utiliser l’outil consiste à rechercher des fichiers non signés dans vos \Windows\System32 répertoires avec cette commande :

sigcheck -u -e c:\windows\system32

Vous devez examiner l’objectif de tous les fichiers qui ne sont pas signés.

TéléchargerSigcheck(664 Ko)

S’exécute sur :

  • Client : Windows 8.1 et versions ultérieures
  • Serveur : Windows Server 2012 et versions ultérieures
  • Nano Server : 2016 et versions ultérieures

En savoir plus