Sigcheck v2.90
作者:Mark Russinovich
发布时间:2022 年 7 月 19 日
下载 Sigcheck (664 KB)
Sigcheck 是一种命令行实用工具,可显示文件版本号、时间戳信息和数字签名详细信息(例如证书链)。 它还提供一个用于在 VirusTotal 上检查文件状态的选项、一个针对 40 多个防病毒引擎执行自动文件扫描的站点,以及一个用于上传文件以供扫描的选项。
用法:
sigcheck [-a][-h][-i][-e][-l][-n][[-s]|[-c|-ct]|[-m]][-q][-r][-u][-vt][-v[r][s]][-f catalog file] <file or directory>
sigcheck -d [-c|-ct] <file or directory>
usage: sigcheck -t[u][v] [-i] [-c|-ct] <certificate store name|*>
参数 | 说明 |
---|---|
-a | 显示扩展的版本信息。 报告的熵度量是文件内容信息的每字节位数。 |
-accepteula | 以无提示的方式接受 Sigcheck EULA(无交互式提示) |
-c | 采用逗号分隔符的 CSV 输出 |
-ct | 采用制表符分隔符的 CSV 输出 |
-d | 转储目录文件的内容 |
-e | 仅扫描可执行映像(不考虑其扩展) |
-f | 在指定的目录文件中查找签名 |
-h | 显示文件哈希 |
-i | 显示目录名和签名链 |
-l | 遍历符号链接和目录联接 |
-m | 转储清单 |
-n | 仅显示文件版本号 |
-o | 使用 -h 选项时,对以前由 Sigcheck 捕获的 CSV 文件中所捕获的哈希执行病毒总数查找。 此用法适用于扫描脱机系统。 |
-nobanner | 不显示启动横幅和版权消息。 |
-r | 禁止检查证书吊销情况 |
-p | 根据指定的策略(由其 GUID 表示)验证签名。 |
-s | 递归操作子目录 |
-t[u][v] | 转储指定证书存储的内容(对于所有存储,使用“*”)。 指定 -tu 以查询用户存储(默认为计算机存储)。 追加“-v”,要求 Sigcheck 下载受信任的 Microsoft 根证书列表,并仅输出未根目录到该列表上的证书的有效证书。 如果站点不可访问,则改为使用当前目录中的 authrootstl.cab 或 authroot.stl(如果存在)。 |
-u | 如果启用了 VirusTotal 检查,则显示 VirusTotal 未知或具有非零检测的文件,否则仅显示未签名的文件。 |
-v[rs] | 在 VirusTotal (www.virustotal.com) 上基于文件哈希查询恶意软件。 添加“r”,打开具有非零检测的文件的报表。 如果指定了“s”选项,会将报告为“以前未扫描”的文件上传到 VirusTotal。 请注意,扫描结果可能在 5 分钟或更长时间内不可用。 |
-vt | 在使用 VirusTotal 功能之前,必须接受 VirusTotal 服务条款。 请参阅:https://www.virustotal.com/en/about/terms-of-service/ 如果尚未接受条款,并且忽略了此选项,系统会以交互方式提示你。 |
使用此工具的一种方法是,使用以下命令在 \Windows\System32
目录中检查未签名的文件:
sigcheck -u -e c:\windows\system32
应对未签名的任何文件的用途进行调查。
下载 Sigcheck (664 KB)
运行软件:
- 客户端:Windows 8.1 及更高版本
- 服务器:Windows Server 2012 及更高版本
- Nano Server:2016 及更高版本
- Malware Hunting with the Sysinternals Tools(使用 Sysinternals 工具搜寻恶意软件)
在本演示文稿中,Mark 展示了如何使用 Sysinternals 工具来识别、分析和清理恶意软件。