Sigcheck v2.90
Por Mark Russinovich
Publicado em: 19 de julho de 2022
Baixar o Sigcheck (664 KB)
Introdução
O Sigcheck é um utilitário de linha de comando que mostra o número da versão do arquivo, informações de carimbo de data/hora e detalhes da assinatura digital, incluindo cadeias de certificados. Esse utilitário também inclui uma opção para verificar o status de um arquivo no VirusTotal, um site que executa a varredura automatizada de arquivos em mais de 40 mecanismos antivírus, e uma opção para carregar um arquivo para verificação.
uso:
sigcheck [-a][-h][-i][-e][-l][-n][[-s]|[-c|-ct]|[-m]][-q][-r][-u][-vt][-v[r][s]][-f catalog file] <file or directory>
sigcheck -d [-c|-ct] <file or directory>
usage: sigcheck -t[u][v] [-i] [-c|-ct] <certificate store name|*>
Parâmetro | Descrição |
---|---|
-a | Mostrar informações de versão estendida. A medida de entropia relatada é o número de bits por byte de informações do conteúdo do arquivo. |
-accepteula | Aceitar silenciosamente o EULA Sigcheck (sem prompt interativo) |
-c | Saída CSV com delimitador de vírgula |
-ct | Saída CSV com delimitador de guia |
-d | Despejar conteúdo de um arquivo de catálogo |
-e | Verificar somente imagens executáveis (independentemente da extensão) |
-f | Procurar assinatura no arquivo de catálogo especificado |
-h | Mostrar hashes de arquivo |
-i | Mostrar o nome do catálogo e a cadeia de assinatura |
-l | Percorrer links simbólicos e junções de diretório |
-m | Despejar manifesto |
-n | Mostrar apenas o número de versão do arquivo |
-o | Executa pesquisas no Virus Total de hashes capturados em um arquivo CSV previamente capturado pelo Sigcheck ao usar a opção -h. Esse uso destina-se a verificações de sistemas offline. |
-nobanner | Não exiba a faixa de inicialização e a mensagem de direitos autorais. |
-r | Desativar a verificação de revogação de certificado |
-p | Verificar as assinaturas em relação à política especificada, representadas pelo GUID. |
-s | Recursar subdiretórios |
-t[u][v] | Despeja o conteúdo do armazenamento de certificados especificado ("*" para todos os armazenamentos). Especifique -tu para consultar o repositório de usuários (o repositório de computadores é o padrão). Acrescente '-v' para que o Sigcheck baixe a lista de certificados raiz confiáveis da Microsoft e apenas gere certificados válidos que não estejam enraizados em um certificado dessa lista. Se o site não estiver acessível, será usado o authrootstl.cab ou o authroot.stl no diretório atual, se houver. |
-u | Se a verificação VirusTotal estiver habilitado, mostre arquivos desconhecidos por VirusTotal ou que têm detecção diferente de zero; caso contrário, mostre apenas arquivos não assinados. |
-v[rs] | Consulte o VirusTotal (www.virustotal.com) para deteção de malware baseado no hash de ficheiro. Adicione ''r'' para abrir relatórios de arquivos com detecção diferente de zero. Os arquivos relatados como não verificados anteriormente serão carregados no VirusTotal se a opção ''s'' for especificada. Observe que os resultados da verificação podem não estar disponíveis por cinco ou mais minutos. |
-vt | Antes de usar os recursos do VirusTotal, você deve aceitar os termos de serviço do VirusTotal. Confira: https://www.virustotal.com/en/about/terms-of-service/ Se você não aceitou os termos e omitir essa opção, será solicitado interativamente. |
Uma maneira de usar a ferramenta é verificar se há arquivos não assinados em seus diretórios \Windows\System32
com este comando:
sigcheck -u -e c:\windows\system32
Você deve investigar a finalidade de todos os arquivos que não estão assinados.
Baixar o Sigcheck (664 KB)
Executado em:
- Cliente: Windows 8.1 e superior
- Servidor: Windows Server 2012 e superior
- Nano Server: 2016 e superior
Saiba mais
- Busca de malwares com as ferramentas do Sysinternals
Nesta apresentação, Mark mostra como usar as ferramentas do Sysinternals para identificar, analisar e limpar malwares.