Sigcheck v2.90
Készítette: Mark Russinovich
Közzétéve: 2022. július 19.
Sigcheck letöltése (664 KB)
A Sigcheck egy parancssori segédprogram, amely megjeleníti a fájl verziószámát, az időbélyeg adatait és a digitális aláírás részleteit, beleértve a tanúsítványláncokat is. Emellett lehetőség van egy fájl állapotának ellenőrzésére a VirusTotal webhelyen, amely több mint 40 víruskereső motoron végez automatikus fájlvizsgálatot, valamint egy fájlt is feltölthet vizsgálatra.
használat:
sigcheck [-a][-h][-i][-e][-l][-n][[-s]|[-c|-ct]|[-m]][-q][-r][-u][-vt][-v[r][s]][-f catalog file] <file or directory>
sigcheck -d [-c|-ct] <file or directory>
usage: sigcheck -t[u][v] [-i] [-c|-ct] <certificate store name|*>
Paraméter | Leírás |
---|---|
-egy | Bővített verzióinformációk megjelenítése. A jelentett entrópia mértéke a fájl tartalmának információinak bájtonkénti bitjei. |
-accepteula | A Sigcheck EULA csendes elfogadása (nincs interaktív üzenet) |
-c | CSV-kimenet vesszőelválasztóval |
-Ct | CSV-kimenet tabulátorelválasztóval |
-d | Katalógusfájl tartalmának memóriaképe |
-e | Csak végrehajtható képek vizsgálata (a bővítményüktől függetlenül) |
-f | Aláírás keresése a megadott katalógusfájlban |
-h | Fájlkivonatok megjelenítése |
-i | Katalógusnév és aláírási lánc megjelenítése |
-l | Keresztirányú szimbolikus hivatkozások és címtár-kereszteződések |
-m | Jegyzékfájl memóriaképe |
-n | Csak a fájl verziószámának megjelenítése |
-o | A -h beállítás használatakor a Sigcheck által korábban rögzített CSV-fájlban rögzített kivonatok vírusösszegző keresését hajtja végre. Ez a használat offline rendszerek vizsgálatára szolgál. |
-nobanner | Ne jelenítse meg az indítási szalagcímet és a szerzői jogi üzenetet. |
-r | Tanúsítvány-visszavonás ellenőrzésének letiltása |
-p | Ellenőrizze az aláírásokat a megadott szabályzaton, amelyet a GUID képvisel. |
-s | Alkönyvtárak ismétlődése |
-t[u][v] | A megadott tanúsítványtároló (*) tartalmának memóriaképe az összes üzletben. Adja meg a -tu értéket a felhasználói tároló lekérdezéséhez (a gépi tároló az alapértelmezett). Fűzze hozzá a "-v" elemet, hogy a Sigcheck letöltse a megbízható Microsoft főtanúsítványok listáját, és csak azokat az érvényes tanúsítványokat adja ki, amelyek nem gyökereznek a listán lévő tanúsítványokhoz. Ha a webhely nem érhető el, authrootstl.cab vagy authroot.stl az aktuális könyvtárban jelenik meg. |
-u | Ha a VirusTotal ellenőrzése engedélyezve van, a VirusTotal által ismeretlen vagy nem nulla észleléssel rendelkező fájlokat jelenítsen meg, ellenkező esetben csak az aláíratlan fájlokat. |
-v[rs] | A Fájlkivonat alapján lekérdezheti a VirusTotalt (www.virustotal.com). Adja hozzá az "r" elemet a nem nulla észlelésű fájlok jelentéseinek megnyitásához. A korábban be nem vizsgáltként jelentett fájlok a VirusTotalba lesznek feltöltve, ha az "s" beállítás meg van adva. Előfordulhat, hogy a vizsgálat eredményei öt vagy több percig nem érhetők el. |
-Vt | A VirusTotal funkcióinak használata előtt el kell fogadnia a VirusTotal szolgáltatási feltételeit. Lásd: https://www.virustotal.com/en/about/terms-of-service/ Ha nem fogadta el a feltételeket, és kihagyja ezt a lehetőséget, a rendszer interaktívan kéri. |
Az eszköz használatának egyik módja az aláírás nélküli fájlok keresése a címtárakban ezzel a \Windows\System32
paranccsal:
sigcheck -u -e c:\windows\system32
Vizsgálja meg a nem aláírt fájlok célját.
Sigcheck letöltése (664 KB)
Futtatás:
- Ügyfél: Windows 8.1 vagy újabb
- Kiszolgáló: Windows Server 2012 és újabb
- Nano Server: 2016 és újabb
- Kártevő-keresés a Sysinternals Tools használatával
Ebben a bemutatóban Mark bemutatja, hogyan használhatja a Sysinternals-eszközöket a kártevők azonosítására, elemzésére és tisztítására.