Sigcheck é um utilitário de linha de comando que mostra o número da versão do arquivo, informações de carimbo de data/hora e detalhes de assinatura digital, incluindo cadeias de certificados. Ele também inclui uma opção para verificar o status de um arquivo no VirusTotal, um site que executa a verificação automatizada de arquivos em mais de 40 mecanismos antivírus, e uma opção para carregar um arquivo para verificação.
Utilização:
sigcheck [-a][-h][-i][-e][-l][-n][[-s]|[-c|-ct]|[-m]][-q][-r][-u][-vt][-v[r][s]][-f catalog file] <file or directory>
sigcheck -d [-c|-ct] <file or directory>
usage: sigcheck -t[u][v] [-i] [-c|-ct] <certificate store name|*>
Parâmetro
Description
-a
Mostrar informações de versão estendida. A medida de entropia relatada é os bits por byte de informação do conteúdo do arquivo.
-accepteula
Aceite silenciosamente o EULA Sigcheck (sem prompt interativo)
-c
Saída CSV com delimitador de vírgulas
-tomografia computadorizada (TC)
Saída CSV com delimitador de tabulação
-d
Despejar conteúdo de um arquivo de catálogo
-e
Digitalizar apenas imagens executáveis (independentemente da sua extensão)
-f
Procure assinatura no arquivo de catálogo especificado
-h
Mostrar hashes de arquivo
-i
Mostrar nome do catálogo e cadeia de assinatura
-l
Percorra links simbólicos e junções de diretório
-m
Manifesto de despejo
-n
Mostrar apenas o número da versão do ficheiro
-o
Executa pesquisas totais de vírus de hashes capturados em um arquivo CSV capturado anteriormente pelo Sigcheck ao usar a opção -h. Esta utilização destina-se a análises de sistemas offline.
-nobanner
Não exiba o banner de inicialização e a mensagem de direitos autorais.
-r
Desativar a verificação de revogação de certificados
-p
Verifique as assinaturas em relação à política especificada, representada por seu GUID.
-s
Subdiretórios recorrentes
-t[u][v]
Despeje o conteúdo do armazenamento de certificados especificado ('*' para todos os armazenamentos). Especifique -tu para consultar o repositório do usuário (o armazenamento da máquina é o padrão). Anexe '-v' para que o Sigcheck baixe a lista de certificados raiz confiáveis da Microsoft e produza apenas certificados válidos não enraizados em um certificado nessa lista. Se o site não estiver acessível, authrootstl.cab ou authroot.stl no diretório atual serão usados, se estiverem presentes.
-u
Se a verificação do VirusTotal estiver ativada, mostre ficheiros desconhecidos pelo VirusTotal ou com deteção diferente de zero, caso contrário, mostre apenas ficheiros não assinados.
-v[rs]
Query VirusTotal (www.virustotal.com) para malware com base no hash do ficheiro. Adicione 'r' para abrir relatórios para arquivos com deteção diferente de zero. Os ficheiros reportados como não verificados anteriormente serão carregados para o VirusTotal se a opção 's' for especificada. Observação Os resultados da verificação podem não estar disponíveis por cinco ou mais minutos.
-VT
Antes de utilizar as funcionalidades do VirusTotal, tem de aceitar os termos de utilização do VirusTotal. Consulte: https://www.virustotal.com/en/about/terms-of-service/ Se você não aceitou os termos e omitiu essa opção, você será solicitado interativamente.
Uma maneira de usar a ferramenta é verificar se há arquivos não assinados em seus \Windows\System32 diretórios com este comando:
sigcheck -u -e c:\windows\system32
Deve investigar a finalidade de quaisquer ficheiros que não estejam assinados.