Sigcheck v2.90
Tarafından Mark Russinovich
Yayımlanma Tarihi: 19 Temmuz 2022
Sigcheck'i indirin (664 KB)
Giriş
Sigcheck, sertifika zincirleri de dahil olmak üzere dosya sürüm numarasını, zaman damgası bilgilerini ve dijital imza ayrıntılarını gösteren bir komut satırı yardımcı programıdır. Ayrıca, 40'ın üzerinde virüsten koruma altyapısına karşı otomatik dosya taraması gerçekleştiren bir site olan VirusTotal'da dosyanın durumunu denetleme seçeneği ve tarama için bir dosya yükleme seçeneği de içerir.
Kullanım:
sigcheck [-a][-h][-i][-e][-l][-n][[-s]|[-c|-ct]|[-m]][-q][-r][-u][-vt][-v[r][s]][-f catalog file] <file or directory>
sigcheck -d [-c|-ct] <file or directory>
usage: sigcheck -t[u][v] [-i] [-c|-ct] <certificate store name|*>
| Parametre | Açıklama |
|---|---|
| -a | Genişletilmiş sürüm bilgilerini göster. Bildirilen entropi ölçüsü, dosyanın içeriğine ilişkin bilgilerin bayt başına bit sayısıdır. |
| -accepteula | Sigcheck EULA'yı sessizce kabul edin (etkileşimli istem yok) |
| -c | Virgül sınırlayıcı ile CSV çıkışı |
| -Ct | Sekme sınırlayıcılı CSV çıktısı |
| -d | Katalog dosyasının döküm içeriği |
| -e | Yalnızca yürütülebilir görüntüleri tara (uzantıları ne olursa olsun) |
| -f | Belirtilen katalog dosyasında imza arayın |
| -h | Dosya karmalarını göster |
| -i | Katalog adını ve imzalama zincirini göster |
| -l | Sembolik bağlantıları ve dizin birleşimlerini dolaşma |
| -m | Döküm bildirimi |
| -n | Yalnızca dosya sürüm numarasını göster |
| -o | -h seçeneğini kullanırken daha önce Sigcheck tarafından yakalanan bir CSV dosyasında yakalanan karmaların Virüs Toplam aramalarını gerçekleştirir. Bu kullanım, çevrimdışı sistemlerin taranmalarına yöneliktir. |
| -nobanner | Başlangıç başlığını ve telif hakkı iletisini görüntülemeyin. |
| -r | Sertifika iptali denetimini devre dışı bırakma |
| -p | Belirtilen ilkede guid değeriyle temsil edilen imzaları doğrulayın. |
| -s | Özyineleme alt dizinleri |
| -t[u][v] | Belirtilen sertifika deposunun ('*' tüm depolar için döküm içeriği). Kullanıcı deposunu sorgulamak için -tu belirtin (makine deposu varsayılandır). Sigcheck'in güvenilen Microsoft kök sertifika listesini indirmesini ve yalnızca bu listedeki bir sertifikaya köklenmemiş geçerli sertifikaların çıkışını oluşturmasını sağlamak için '-v' ekleyin. Site erişilebilir değilse, varsa geçerli dizindeki authrootstl.cab veya authroot.stl kullanılır. |
| -u | VirusTotal denetimi etkinse, VirusTotal tarafından bilinmeyen veya sıfır olmayan algılamaya sahip dosyaları gösterin, aksi takdirde yalnızca imzasız dosyaları gösterin. |
| -v[rs] | Dosya karması temelinde kötü amaçlı yazılım için VirusTotal (www.virustotal.com) öğesini sorgula. Sıfır olmayan algılamaya sahip dosyalar için raporları açmak için 'r' ekleyin. Daha önce taranmadığı bildirilen dosyalar, 's' seçeneği belirtilirse VirusTotal'a yüklenir. Not tarama sonuçları beş veya daha fazla dakika boyunca kullanılamayabilir. |
| -Vt | VirusTotal özelliklerini kullanmadan önce VirusTotal hizmet koşullarını kabul etmeniz gerekir. Bkz. https://www.virustotal.com/en/about/terms-of-service/ Koşulları kabul etmediyseniz ve bu seçeneği atlarsanız etkileşimli olarak istenir. |
Aracı kullanmanın bir yolu, dizinlerinizdeki \Windows\System32 imzasız dosyaları şu komutla denetlemektir:
sigcheck -u -e c:\windows\system32
İmzalı olmayan dosyaların amacını araştırmanız gerekir.
Sigcheck'i indirin (664 KB)
Çalıştırma tarihi:
- İstemci: Windows 8.1 ve üzeri
- Sunucu: Windows Server 2012 ve üzeri
- Nano Sunucu: 2016 ve üzeri
Daha Fazla Bilgi Edinin
- Sysinternals Araçları ile Kötü Amaçlı Yazılım Avcılığı
Bu sunuda Mark, kötü amaçlı yazılımları tanımlamak, analiz etmek ve temizlemek için Sysinternals araçlarının nasıl kullanılacağını gösterir.