Sigcheck v2.90
Par Mark Russinovich
Date de publication : 19 juillet 2022
Télécharger Sigcheck(664 Ko)
Présentation
Sigcheck est un utilitaire de ligne de commande qui affiche le numéro de version d’un fichier, les informations d’horodatage et les détails de la signature numérique, y compris les chaînes de certificats. Il inclut également une option permettant de vérifier l’état d’un fichier sur VirusTotal, un site qui effectue une analyse automatisée des fichiers sur plus de 40 moteurs antivirus, ainsi qu’une option permettant de charger un fichier à des fins d’analyse.
Utilisation :
sigcheck [-a][-h][-i][-e][-l][-n][[-s]|[-c|-ct]|[-m]][-q][-r][-u][-vt][-v[r][s]][-f catalog file] <file or directory>
sigcheck -d [-c|-ct] <file or directory>
usage: sigcheck -t[u][v] [-i] [-c|-ct] <certificate store name|*>
| Paramètre | Description |
|---|---|
| -a | Afficher des informations de version étendues. La mesure d’entropie signalée correspond aux bits par octet des informations du contenu du fichier. |
| -accepteula | Accepter silencieusement le CLUF Sigcheck (aucune invite interactive) |
| -c | Sortie CSV avec virgules de délimitation |
| -ct | Sortie CSV avec tabulations de délimitation |
| -d | Vider le contenu d’un fichier catalogue |
| -e | Analyser uniquement les images exécutables (quelle que soit leur extension) |
| -f | Rechercher la signature dans le fichier catalogue spécifié |
| -h | Afficher les hachages de fichier |
| -i | Afficher le nom du catalogue et la chaîne de signature |
| -l | Parcourir les liens symboliques et les jonctions d’annuaire |
| -m | Vider le manifeste |
| -n | Afficher uniquement le numéro de version du fichier |
| -o | Effectue des recherches VirusTotal de hachages capturés dans un fichier CSV précédemment capturé par Sigcheck lors de l’utilisation de l’option -h. Cette utilisation est destinée aux analyses des systèmes hors connexion. |
| -nobanner | Ne pas afficher la bannière de démarrage ni le message de copyright. |
| -r | Désactiver la vérification de la révocation de certificats |
| -p | Vérifier les signatures par rapport à la stratégie spécifiée, représentée par son GUID. |
| -s | Traiter récursivement les sous-répertoires |
| -t[u][v] | Vider le contenu du magasin de certificats spécifié (« * » pour tous les magasins). Spécifier -tu pour interroger le magasin utilisateur (le magasin d’ordinateurs est la valeur par défaut). Ajouter « -v » pour que Sigcheck télécharge la liste des certificats racines Microsoft approuvés et génère uniquement les certificats valides non rootés dans un certificat de cette liste. Si le site n’est pas accessible, authrootstl.cab ou authroot.stl dans le répertoire actif est utilisé à la place, le cas échéant. |
| -u | Si la vérification de VirusTotal est activée, affiche les fichiers inconnus de VirusTotal ou dont la détection est différente de zéro, sinon affiche uniquement les fichiers non signés. |
| -v[rs] | Interroger VirusTotal (www.virustotal.com) pour les programmes malveillants en fonction du hachage de fichier. Ajouter « r » pour ouvrir les rapports pour les fichiers avec une détection différente de zéro. Les fichiers signalés comme n'ayant pas été analysés précédemment seront téléchargés sur VirusTotal si l'option 's' est spécifiée. Notez que les résultats de l'analyse peuvent ne pas être disponibles pendant cinq minutes ou plus. |
| -vt | Avant d’utiliser les fonctionnalités de VirusTotal, vous devez accepter les conditions d’utilisation de VirusTotal. Voir : https://www.virustotal.com/en/about/terms-of-service/ Si vous n’avez pas accepté les conditions et que vous omettez cette option, vous êtes invité de manière interactive. |
L’une des façons d’utiliser l’outil consiste à vérifier la présence de fichiers non signés dans vos répertoires \Windows\System32 avec la commande suivante :
sigcheck -u -e c:\windows\system32
Vous devez examiner l’objectif de tous les fichiers qui ne sont pas signés.
Télécharger Sigcheck(664 Ko)
Fonctionne sur :
- Client : Windows 8.1 et versions ultérieures
- Serveur : Windows Server 2012 et versions ultérieures
- Nano Server : 2016 et versions ultérieures
En savoir plus
- Repérage des programmes malveillants avec les outils Sysinternals
Dans cette présentation, Mark montre comment utiliser les outils Sysinternals pour identifier, analyser et nettoyer les programmes malveillants.