Sigcheck v2.90
Autor: Mark Russinovich
Opublikowano: 19 lipca 2022 r.
Pobierz Sigcheck(664 KB)
Wprowadzenie
Sigcheck to narzędzie wiersza polecenia, które wyświetla numer wersji pliku, informacje o sygnaturze czasowej i szczegóły podpisu cyfrowego, w tym łańcuchy certyfikatów. Zawiera również opcję sprawdzenia stanu pliku na VirusTotal, lokacji, która wykonuje automatyczne skanowanie plików w ponad 40 aparatach antywirusowych, oraz opcję przekazania pliku do skanowania.
Użycia:
sigcheck [-a][-h][-i][-e][-l][-n][[-s]|[-c|-ct]|[-m]][-q][-r][-u][-vt][-v[r][s]][-f catalog file] <file or directory>
sigcheck -d [-c|-ct] <file or directory>
usage: sigcheck -t[u][v] [-i] [-c|-ct] <certificate store name|*>
| Parametr | opis |
|---|---|
| -a | Pokaż informacje o wersji rozszerzonej. Zgłoszona miara entropii to bity na bajt informacji o zawartości pliku. |
| -accepteula | Dyskretne akceptowanie umowy EULA Sigcheck (bez interakcyjnego monitu) |
| -c | Dane wyjściowe CSV z ogranicznikiem przecinka |
| -Ct | Dane wyjściowe CSV z ogranicznikiem tabulacji |
| -D | Zrzut zawartości pliku wykazu |
| -E | Skanuj tylko obrazy wykonywalne (niezależnie od ich rozszerzenia) |
| -F | Wyszukiwanie podpisu w określonym pliku wykazu |
| -h | Pokaż skróty plików |
| -I | Pokaż nazwę katalogu i łańcuch podpisywania |
| -L | Przechodzenie linków symbolicznych i skrzyżowań katalogów |
| -M | Manifest zrzutu |
| -N | Pokaż tylko numer wersji pliku |
| -o | Wykonuje wyszukiwanie sumy wirusów skrótów przechwyconych w pliku CSV wcześniej przechwyconym przez Sigcheck podczas korzystania z opcji -h. To użycie jest przeznaczone do skanowania systemów w trybie offline. |
| -nobanner | Nie wyświetlaj baneru startowego i wiadomości o prawach autorskich. |
| -r | Wyłącz sprawdzanie odwołania certyfikatów |
| -P | Zweryfikuj podpisy względem określonych zasad reprezentowanych przez identyfikator GUID. |
| -s | Recurse podkatalogów |
| -t[u][v] | Zrzut zawartości określonego magazynu certyfikatów ('*' dla wszystkich magazynów). Określ -tu, aby wysłać zapytanie do magazynu użytkowników (magazyn maszyn jest domyślny). Dołącz "-v", aby sigcheck pobrać listę zaufanych certyfikatów głównych firmy Microsoft i wyświetlić tylko prawidłowe certyfikaty, które nie zostały rooted do certyfikatu na tej liście. Jeśli witryna jest niedostępna, authrootstl.cab lub authroot.stl w bieżącym katalogu są używane, jeśli istnieje. |
| -U | Jeśli sprawdzanie VirusTotal jest włączone, pokaż pliki, które są nieznane przez VirusTotal lub mają wykrywanie niezerowe, w przeciwnym razie pokaż tylko niepodpisane pliki. |
| -v[rs] | Zapytanie VirusTotal (www.virustotal.com) w poszukiwaniu złośliwego oprogramowania na podstawie skrótu pliku. Dodaj element "r", aby otworzyć raporty dla plików z wykrywaniem niezerowym. Pliki zgłoszone jako nieskanowane wcześniej zostaną przekazane do witryny VirusTotal, jeśli określono opcję "s". Wyniki skanowania notatek mogą być niedostępne przez pięć lub więcej minut. |
| -Vt | Przed rozpoczęciem korzystania z funkcji VirusTotal należy zaakceptować warunki użytkowania oprogramowania VirusTotal. Zobacz: https://www.virustotal.com/en/about/terms-of-service/ Jeśli warunki nie zostały zaakceptowane i pominięto tę opcję, zostanie wyświetlony interakcyjny monit. |
Jednym ze sposobów użycia narzędzia jest sprawdzenie pod kątem niepodpisanych plików w \Windows\System32 katalogach za pomocą tego polecenia:
sigcheck -u -e c:\windows\system32
Należy zbadać cel wszystkich plików, które nie są podpisane.
Pobierz Sigcheck(664 KB)
Działa w:
- Klient: Windows 8.1 lub nowszy
- Serwer: Windows Server 2012 i nowsze
- Nano Server: 2016 i nowsze
Dowiedz się więcej
- Wyszukiwanie złośliwego oprogramowania za pomocą narzędzi Sysinternals
W tej prezentacji Mark pokazuje, jak używać narzędzi Sysinternals do identyfikowania, analizowania i czyszczenia złośliwego oprogramowania.