Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Марк Руссинович
Опубликовано: 4 февраля 2026 г.
Скачать Sigcheck(645 КБ)
Введение
Sigcheck — это программа командной строки, показывающая номер версии файла, сведения о метке времени и сведения о цифровой подписи, включая цепочки сертификатов. Он также включает возможность проверить состояние файла в VirusTotal, сайт, который выполняет автоматическое сканирование файлов с более чем 40 антивирусными ядрами, и возможность отправки файла для сканирования.
Использование:
sigcheck [-a][-h][-i][-e][-l][-n][[-s]|[-c|-ct]|[-m]][-q][-r][-u][-vt][-v[r][s]][-f catalog file] <file or directory>
sigcheck -d [-c|-ct] <file or directory>
usage: sigcheck -t[u][v] [-i] [-c|-ct] <certificate store name|*>
| Параметр | Description |
|---|---|
| -a | Отображение сведений о расширенной версии. Сообщаемая мера энтропии — это биты в байтах сведений о содержимом файла. |
| -accepteula | Автоматически примите EULA Sigcheck (без интерактивного запроса) |
| -c | Выходные данные CSV с разделителями-запятыми |
| -ct | Выходные данные CSV с разделителями вкладок |
| -d | Содержимое дампа файла каталога |
| -e | Сканировать исполняемые образы только (независимо от их расширения) |
| -f | Поиск подписи в указанном файле каталога |
| -h | Отображение хэшей файлов |
| -i | Отображение имени каталога и цепочки подписей |
| -l | Обход символьных ссылок и соединений каталогов |
| -m | Манифест дампа |
| -n | Показывать только номер версии файла |
| -o | Выполняет общий поиск хэшей, захваченных в CSV-файле, ранее захваченном Sigcheck при использовании параметра -h. Это использование предназначено для сканирования автономных систем. |
| -nobanner | Не отображайте баннер запуска и сообщение об авторских правах. |
| -r | Отключение проверки отзыва сертификата |
| -p | Проверьте подписи для указанной политики, представленной его GUID. |
| -s | Рекурсивные подкаталоги |
| -t[u][v] | Дампа содержимого указанного хранилища сертификатов ("*" для всех хранилищ). Укажите -tu для запроса к хранилищу пользователей (хранилище компьютеров — значение по умолчанию). Добавьте "-v", чтобы скачать список доверенных корневых сертификатов Майкрософт и только выходные допустимые сертификаты, не корневые в сертификате в этом списке. Если сайт недоступен, вместо этого используется authrootstl.cab или authroot.stl в текущем каталоге, если он присутствует. |
| -u | Если включена проверка VirusTotal, отобразятся файлы, неизвестные вирусомTotal или ненулевым обнаружением, в противном случае отображаются только неподписанные файлы. |
| -v[rs] | Запрос VirusTotal (www.virustotal.com) для вредоносных программ на основе хэша файлов. Добавьте "r", чтобы открыть отчеты для файлов с ненулевым обнаружением. Файлы, указанные не ранее, будут отправлены в VirusTotal, если указан параметр s. Результаты проверки заметок могут быть недоступны в течение пяти или более минут. |
| -vt | Перед использованием функций VirusTotal необходимо принять условия обслуживания VirusTotal. См. статью: https://www.virustotal.com/en/about/terms-of-service/ Если вы не приняли условия и опустите этот параметр, вам будет предложено интерактивно. |
Одним из способов использования этого средства является проверка наличия неподписанных файлов в \Windows\System32 каталогах с помощью этой команды:
sigcheck -u -e c:\windows\system32
Следует изучить цель любых файлов, которые не подписаны.
Скачать Sigcheck(645 КБ)
Выполняется:
- Клиент: Windows 8.1 и более поздние версии
- Сервер: Windows Server 2012 и выше
- Nano Server: 2016 и выше
Подробнее
-
Поиск вредоносных программ с помощью средств Sysinternals
В этой презентации Марк показывает, как использовать средства Sysinternals для выявления, анализа и очистки вредоносных программ.