Sigcheck v2.90
Oleh Mark Russinovich
Diterbitkan: 19 Juli 2022
Unduh Sigcheck(664 KB)
Pendahuluan
Sigcheck adalah utilitas baris perintah yang menunjukkan nomor versi file, informasi tanda waktu, dan detail tanda tangan digital, termasuk rantai sertifikat. Ini juga termasuk opsi untuk memeriksa status file di VirusTotal, situs yang melakukan pemindaian file otomatis terhadap lebih dari 40 mesin antivirus, dan opsi untuk mengunggah file untuk pemindaian.
Penggunaan:
sigcheck [-a][-h][-i][-e][-l][-n][[-s]|[-c|-ct]|[-m]][-q][-r][-u][-vt][-v[r][s]][-f catalog file] <file or directory>
sigcheck -d [-c|-ct] <file or directory>
usage: sigcheck -t[u][v] [-i] [-c|-ct] <certificate store name|*>
| Parameter | Deskripsi |
|---|---|
| -J | Tampilkan informasi versi yang diperluas. Ukuran entropi yang dilaporkan adalah bit per byte informasi konten file. |
| -accepteula | Menerima Sigcheck EULA secara diam-diam (tidak ada permintaan interaktif) |
| -C | Output CSV dengan pemisah koma |
| -Ct | Output CSV dengan pembatas tab |
| -d | Mencadangkan konten file katalog |
| -E | Pindai gambar yang dapat dieksekusi saja (terlepas dari ekstensinya) |
| -F | Cari tanda tangan dalam file katalog yang ditentukan |
| -jam | Perlihatkan hash file |
| -i | Tampilkan nama katalog dan rantai penandatanganan |
| -L | Melintasi tautan simbolis dan persimpangan direktori |
| -M | Manifes cadangan |
| -n | Hanya tampilkan nomor versi file |
| -O | Melakukan pencarian Total Virus hash yang diambil dalam file CSV yang sebelumnya diambil oleh Sigcheck saat menggunakan opsi -h. Penggunaan ini ditujukan untuk pemindaian sistem offline. |
| -nobanner | Jangan tampilkan spanduk startup dan pesan hak cipta. |
| -R | Nonaktifkan pemeriksaan pencabutan sertifikat |
| -P | Verifikasi tanda tangan terhadap kebijakan yang ditentukan, yang diwakili oleh GUID-nya. |
| -S | Subdirektori berulang |
| -t[u][v] | Buang isi penyimpanan sertifikat tertentu ('*' untuk semua penyimpanan). Tentukan -tu untuk mengkueri penyimpanan pengguna (penyimpanan mesin adalah default). Tambahkan '-v' agar Sigcheck mengunduh daftar sertifikat akar Microsoft tepercaya dan hanya mengeluarkan sertifikat yang valid yang tidak di-root ke sertifikat pada daftar tersebut. Jika situs tidak dapat diakses, authrootstl.cab atau authroot.stl di direktori saat ini digunakan sebagai gantinya, jika ada. |
| -U | Jika pemeriksaan VirusTotal diaktifkan, tampilkan file yang tidak diketahui oleh VirusTotal atau tidak memiliki deteksi nol, jika tidak, hanya tampilkan file yang tidak ditandatangani. |
| -v[rs] | Kueri VirusTotal (www.virustotal.com) untuk malware berdasarkan hash file. Tambahkan 'r' untuk membuka laporan untuk file dengan deteksi bukan nol. File yang dilaporkan sebagai tidak dipindai sebelumnya akan diunggah ke VirusTotal jika opsi 's' ditentukan. Catatan hasil pemindaian mungkin tidak tersedia selama lima menit atau lebih. |
| -Vt | Sebelum menggunakan fitur VirusTotal, Anda harus menerima ketentuan layanan VirusTotal. Lihat: https://www.virustotal.com/en/about/terms-of-service/ Jika Anda belum menerima persyaratan dan menghilangkan opsi ini, Anda akan diminta secara interaktif. |
Salah satu cara untuk menggunakan alat ini adalah dengan memeriksa file yang tidak ditandatangani di direktori Anda \Windows\System32 dengan perintah ini:
sigcheck -u -e c:\windows\system32
Anda harus menyelidiki tujuan file apa pun yang tidak ditandatangani.
Unduh Sigcheck(664 KB)
Berjalan pada:
- Klien: Windows 8.1 dan yang lebih tinggi
- Server: Windows Server 2012 dan yang lebih tinggi
- Nano Server: 2016 dan yang lebih tinggi
Pelajari Selengkapnya
- Perburuan Malware dengan Alat Sysinternals
Dalam presentasi ini, Mark menunjukkan cara menggunakan alat Sysinternals untuk mengidentifikasi, menganalisis, dan membersihkan malware.