Прочитать на английском

Поделиться через


Sigcheck версии 2.90

Марк Руссинович

Опубликовано: 19 июля 2022 г.

ЗагрузкаСкачать Sigcheck (664 КБ)

Введение

Sigcheck — это программа командной строки, показывающая номер версии файла, сведения о метке времени и сведения о цифровой подписи, включая цепочки сертификатов. Он также включает возможность проверить состояние файла в VirusTotal, сайт, который выполняет автоматическое сканирование файлов с более чем 40 антивирусными ядрами, и возможность отправки файла для сканирования.

Использование:

sigcheck [-a][-h][-i][-e][-l][-n][[-s]|[-c|-ct]|[-m]][-q][-r][-u][-vt][-v[r][s]][-f catalog file] <file or directory>

sigcheck -d [-c|-ct] <file or directory>

usage: sigcheck -t[u][v] [-i] [-c|-ct] <certificate store name|*>
Параметр Description
-a Отображение сведений о расширенной версии. Сообщаемая мера энтропии — это биты в байтах сведений о содержимом файла.
-accepteula Автоматически примите EULA Sigcheck (без интерактивного запроса)
-c Выходные данные CSV с разделителями-запятыми
-ct Выходные данные CSV с разделителями вкладок
-d Содержимое дампа файла каталога
-e Сканировать исполняемые образы только (независимо от их расширения)
-f Поиск подписи в указанном файле каталога
-h Отображение хэшей файлов
-i Отображение имени каталога и цепочки подписей
-l Обход символьных ссылок и соединений каталогов
-m Манифест дампа
-n Показывать только номер версии файла
-o Выполняет общий поиск хэшей, захваченных в CSV-файле, ранее захваченном Sigcheck при использовании параметра -h. Это использование предназначено для сканирования автономных систем.
-nobanner Не отображайте баннер запуска и сообщение об авторских правах.
-r Отключение проверки отзыва сертификата
-p Проверьте подписи для указанной политики, представленной его GUID.
-s Рекурсивные подкаталоги
-t[u][v] Дампа содержимого указанного хранилища сертификатов ("*" для всех хранилищ).
Укажите -tu для запроса к хранилищу пользователей (хранилище компьютеров — значение по умолчанию).
Добавьте "-v", чтобы скачать список доверенных корневых сертификатов Майкрософт и только выходные допустимые сертификаты, не корневые в сертификате в этом списке. Если сайт недоступен, вместо этого используется authrootstl.cab или authroot.stl в текущем каталоге, если он присутствует.
-u Если включена проверка VirusTotal, отобразятся файлы, неизвестные вирусомTotal или ненулевым обнаружением, в противном случае отображаются только неподписанные файлы.
-v[rs] Запрос VirusTotal (www.virustotal.com) для вредоносных программ на основе хэша файлов.
Добавьте "r", чтобы открыть отчеты для файлов с ненулевым обнаружением.
Файлы, указанные не ранее, будут отправлены в VirusTotal, если указан параметр s. Результаты проверки заметок могут быть недоступны в течение пяти или более минут.
-vt Перед использованием функций VirusTotal необходимо принять условия обслуживания VirusTotal. См. статью: https://www.virustotal.com/en/about/terms-of-service/ Если вы не приняли условия и опустите этот параметр, вам будет предложено интерактивно.

Одним из способов использования этого средства является проверка наличия неподписанных файлов в \Windows\System32 каталогах с помощью этой команды:

sigcheck -u -e c:\windows\system32

Следует изучить цель любых файлов, которые не подписаны.

ЗагрузкаСкачать Sigcheck (664 КБ)

Выполняется:

  • Клиент: Windows 8.1 и более поздние версии
  • Сервер: Windows Server 2012 и выше
  • Nano Server: 2016 и выше

Подробнее