Sigcheck v2.90
作者:Mark Russinovich
發佈日期:2022 年 7 月 19 日
下載 Sigcheck (664 KB)
Sigcheck 是命令列公用程式,其中顯示檔案版本號碼、時間戳記資訊和數位簽章詳細資料,包括憑證鏈結。 它也包含在 VirusTotal 上檢查檔案狀態的選項 (該網站是可對照超過 40 個防毒引擎執行自動檔案掃描的網站),以及上傳檔案以進行掃描的選項。
使用方式:
sigcheck [-a][-h][-i][-e][-l][-n][[-s]|[-c|-ct]|[-m]][-q][-r][-u][-vt][-v[r][s]][-f catalog file] <file or directory>
sigcheck -d [-c|-ct] <file or directory>
usage: sigcheck -t[u][v] [-i] [-c|-ct] <certificate store name|*>
參數 | 描述 |
---|---|
-a | 顯示延伸版本資訊。 報告的 entropy 量值是檔案內容的每一位元組資訊位元。 |
-accepteula | 以無訊息方式接受 Sigcheck EULA (沒有互動式提示) |
-c | 使用逗號分隔符號的 CSV 輸出 |
-ct | 使用 Tab 分隔符號的 CSV 輸出 |
-d | 傾印目錄檔案的內容 |
-e | 僅掃描可執行映像 (不論其副檔名為何) |
-f | 在指定的目錄檔案中尋找簽章 |
-h | 顯示檔案雜湊 |
-i | 顯示目錄名稱和簽署鏈結 |
-l | 周遊符號連結和目錄連接點 |
-m | 傾印資訊清單 |
-n | 僅顯示檔案版本號碼 |
-o | 使用 -h 選項時,則會執行先前由 Sigcheck 擷取在 CSV 檔案中雜湊的 VirusTotal 查閱。 此使用方式適合掃描離線系統。 |
-nobanner | 不顯示啟動橫幅及著作權訊息。 |
-r | 停用憑證撤銷的檢查 |
-p | 對照指定的原則驗證簽章,依其 GUID 表示。 |
-s | 遞迴子目錄 |
-t[u][v] | 傾印指定憑證存放區的內容 ('*' 表示所有存放區)。 指定 -tu 來查詢使用者存放區 (預設值為電腦存放區)。 附加 '-v' 以讓 Sigcheck 下載受信任的 Microsoft 根憑證清單,並且只輸出未在該清單上憑證根目錄的有效憑證。 如果無法存取網站,則會改用目前目錄中的 authrootstl.cab 或 authroot.stl (如果有的話)。 |
-u | 如果已啟用 VirusTotal 檢查,則顯示 VirusTotal 未知或有非零偵測的檔案,否則只顯示未簽署的檔案。 |
-v[rs] | 查詢 VirusTotal (www.virustotal.com),以了解是否有以檔案雜湊為基礎的惡意程式碼。 新增 'r' 以開啟具有非零偵測的檔案的報告。 如果指定了 's' 選項,則會將報告為先前未掃描的檔案上傳至 VirusTotal。 請注意,掃描結果可能在五分鐘之後才能提供。 |
-vt | 使用 VirusTotal 功能之前,您必須接受 VirusTotal 服務條款。 請參閱:https://www.virustotal.com/en/about/terms-of-service/如果您未接受條款並省略此選項,將會以互動方式提示您。 |
使用該工具的其中一種方式是使用此命令檢查 \Windows\System32
目錄中是否有未簽署的檔案:
sigcheck -u -e c:\windows\system32
您應該調查未簽署的任何檔案的目的。
下載 Sigcheck (664 KB)
執行於:
- 用戶端:Windows 8.1 和更新版本
- 伺服器:Windows Server 2012 和更新版本
- Nano Server:2016 和更新版本
- 使用 Sysinternals 工具進行惡意程式碼搜捕
在此簡報中,Mark 會示範如何使用 Sysinternals 工具來識別、分析和清除惡意程式碼。