使用英语阅读

通过


Sigcheck v2.90

作者:Mark Russinovich

发布时间:2022 年 7 月 19 日

下载 下载 Sigcheck (664 KB)

简介

Sigcheck 是一种命令行实用工具,可显示文件版本号、时间戳信息和数字签名详细信息(例如证书链)。 它还提供一个用于在 VirusTotal 上检查文件状态的选项、一个针对 40 多个防病毒引擎执行自动文件扫描的站点,以及一个用于上传文件以供扫描的选项。

用法:

sigcheck [-a][-h][-i][-e][-l][-n][[-s]|[-c|-ct]|[-m]][-q][-r][-u][-vt][-v[r][s]][-f catalog file] <file or directory>

sigcheck -d [-c|-ct] <file or directory>

usage: sigcheck -t[u][v] [-i] [-c|-ct] <certificate store name|*>
参数 说明
-a 显示扩展的版本信息。 报告的熵度量是文件内容信息的每字节位数。
-accepteula 以无提示的方式接受 Sigcheck EULA(无交互式提示)
-c 采用逗号分隔符的 CSV 输出
-ct 采用制表符分隔符的 CSV 输出
-d 转储目录文件的内容
-e 仅扫描可执行映像(不考虑其扩展)
-f 在指定的目录文件中查找签名
-h 显示文件哈希
-i 显示目录名和签名链
-l 遍历符号链接和目录联接
-m 转储清单
-n 仅显示文件版本号
-o 使用 -h 选项时,对以前由 Sigcheck 捕获的 CSV 文件中所捕获的哈希执行病毒总数查找。 此用法适用于扫描脱机系统。
-nobanner 不显示启动横幅和版权消息。
-r 禁止检查证书吊销情况
-p 根据指定的策略(由其 GUID 表示)验证签名。
-s 递归操作子目录
-t[u][v] 转储指定证书存储的内容(对于所有存储,使用“*”)。
指定 -tu 以查询用户存储(默认为计算机存储)。
追加“-v”,要求 Sigcheck 下载受信任的 Microsoft 根证书列表,并仅输出未根目录到该列表上的证书的有效证书。 如果站点不可访问,则改为使用当前目录中的 authrootstl.cab 或 authroot.stl(如果存在)。
-u 如果启用了 VirusTotal 检查,则显示 VirusTotal 未知或具有非零检测的文件,否则仅显示未签名的文件。
-v[rs] 在 VirusTotal (www.virustotal.com) 上基于文件哈希查询恶意软件。
添加“r”,打开具有非零检测的文件的报表。
如果指定了“s”选项,会将报告为“以前未扫描”的文件上传到 VirusTotal。 请注意,扫描结果可能在 5 分钟或更长时间内不可用。
-vt 在使用 VirusTotal 功能之前,必须接受 VirusTotal 服务条款。 请参阅:https://www.virustotal.com/en/about/terms-of-service/ 如果尚未接受条款,并且忽略了此选项,系统会以交互方式提示你。

使用此工具的一种方法是,使用以下命令在 \Windows\System32 目录中检查未签名的文件:

sigcheck -u -e c:\windows\system32

应对未签名的任何文件的用途进行调查。

下载 下载 Sigcheck (664 KB)

运行软件:

  • 客户端:Windows 8.1 及更高版本
  • 服务器:Windows Server 2012 及更高版本
  • Nano Server:2016 及更高版本

了解更多