Sigcheck v2.90
マーク・ルシノヴィチ
公開日: 2022 年 7 月 19 日
Sigcheck のダウンロード(664 KB)
はじめに
Sigcheck は、ファイル バージョン番号、タイムスタンプ情報、および証明書チェーンを含むデジタル署名の詳細を表示するコマンド ライン ユーティリティです。 また、 VirusTotal でファイルの状態を確認するオプション、40 を超えるウイルス対策エンジンに対して自動ファイル スキャンを実行するサイト、スキャン用のファイルをアップロードするオプションも含まれています。
使い:
sigcheck [-a][-h][-i][-e][-l][-n][[-s]|[-c|-ct]|[-m]][-q][-r][-u][-vt][-v[r][s]][-f catalog file] <file or directory>
sigcheck -d [-c|-ct] <file or directory>
usage: sigcheck -t[u][v] [-i] [-c|-ct] <certificate store name|*>
| パラメーター | 説明 |
|---|---|
| -a | 拡張バージョン情報を表示します。 報告されるエントロピメジャーは、ファイルの内容の情報のバイトあたりのビット数です。 |
| -accepteula | Sigcheck EULA をサイレント モードで受け入れる (対話型プロンプトなし) |
| -c | コンマ区切り記号を使用した CSV 出力 |
| -ct | タブ区切り記号を含む CSV 出力 |
| -d | カタログ ファイルのダンプの内容 |
| -e | 実行可能イメージのみをスキャンする (拡張機能に関係なく) |
| -f | 指定したカタログ ファイルで署名を探します |
| -h | ファイル ハッシュを表示する |
| -i | カタログ名と署名チェーンを表示する |
| -l | シンボリック リンクとディレクトリ ジャンクションを走査する |
| -m | ダンプ マニフェスト |
| -n | ファイルのバージョン番号のみを表示する |
| -o | h オプションの使用時に Sigcheck によって以前にキャプチャされた CSV ファイルでキャプチャされたハッシュのウイルス合計検索を実行します。 この使用は、オフライン システムのスキャンを目的としています。 |
| -nobanner | スタートアップ バナーと著作権メッセージは表示しないでください。 |
| -r | 証明書失効のチェックを無効にする |
| -p | GUID で表される、指定したポリシーに対して署名を確認します。 |
| -s | Recurse サブディレクトリ |
| -t[u][v] | 指定した証明書ストア (すべてのストアの場合は '*') の内容をダンプします。 ユーザー ストアに対してクエリを実行する -tu を指定します (コンピューター ストアが既定です)。 信頼された Microsoft ルート証明書の一覧を Sigcheck にダウンロードさせ、その一覧の証明書にルート化されていない有効な証明書のみを出力するには、'-v' を追加します。 サイトにアクセスできない場合は、現在のディレクトリにauthrootstl.cabまたは authroot.stl が使用されます (存在する場合)。 |
| -u | VirusTotal チェックが有効な場合は、VirusTotal で不明なファイルを表示するか、0 以外の検出を持つファイルを表示します。それ以外の場合は、署名されていないファイルのみを表示します。 |
| -v[rs] | ファイル ハッシュに基づいて、VirusTotal (www.virustotal.com) にマルウェアを照会します。 'r' を追加して、0 以外の検出を持つファイルのレポートを開きます。 's' オプションが指定されている場合、以前にスキャンされていないファイルが VirusTotal にアップロードされます。 注: スキャン結果を 5 分以上使用できない場合があります。 |
| -vt | VirusTotal 機能を使用する前に、VirusTotal のサービス利用規約に同意する必要があります。 参照: https://www.virustotal.com/en/about/terms-of-service/ 条項に同意せず、このオプションを省略した場合は、対話形式でメッセージが表示されます。 |
このツールを使用する方法の 1 つは、次のコマンドを使用して、ディレクトリ内の署名されていないファイルを \Windows\System32 確認することです。
sigcheck -u -e c:\windows\system32
署名されていないファイルの目的を調査する必要があります。
Sigcheck のダウンロード(664 KB)
以下で実行されます。
- クライアント: Windows 8.1以降
- サーバー: Windows Server 2012以降
- Nano Server: 2016 以降
詳細情報
- Sysinternals ツールを使用したマルウェアハンティング
このプレゼンテーションでは、Mark が Sysinternals ツールを使用してマルウェアを識別、分析、およびクリーンアップする方法を示します。