閱讀英文

共用方式為


Sigcheck v2.90

作者:Mark Russinovich

發佈日期:2022 年 7 月 19 日

下載下載 Sigcheck (664 KB)

簡介

Sigcheck 是命令列公用程式,其中顯示檔案版本號碼、時間戳記資訊和數位簽章詳細資料,包括憑證鏈結。 它也包含在 VirusTotal 上檢查檔案狀態的選項 (該網站是可對照超過 40 個防毒引擎執行自動檔案掃描的網站),以及上傳檔案以進行掃描的選項。

使用方式:

sigcheck [-a][-h][-i][-e][-l][-n][[-s]|[-c|-ct]|[-m]][-q][-r][-u][-vt][-v[r][s]][-f catalog file] <file or directory>

sigcheck -d [-c|-ct] <file or directory>

usage: sigcheck -t[u][v] [-i] [-c|-ct] <certificate store name|*>
參數 描述
-a 顯示延伸版本資訊。 報告的 entropy 量值是檔案內容的每一位元組資訊位元。
-accepteula 以無訊息方式接受 Sigcheck EULA (沒有互動式提示)
-c 使用逗號分隔符號的 CSV 輸出
-ct 使用 Tab 分隔符號的 CSV 輸出
-d 傾印目錄檔案的內容
-e 僅掃描可執行映像 (不論其副檔名為何)
-f 在指定的目錄檔案中尋找簽章
-h 顯示檔案雜湊
-i 顯示目錄名稱和簽署鏈結
-l 周遊符號連結和目錄連接點
-m 傾印資訊清單
-n 僅顯示檔案版本號碼
-o 使用 -h 選項時,則會執行先前由 Sigcheck 擷取在 CSV 檔案中雜湊的 VirusTotal 查閱。 此使用方式適合掃描離線系統。
-nobanner 不顯示啟動橫幅及著作權訊息。
-r 停用憑證撤銷的檢查
-p 對照指定的原則驗證簽章,依其 GUID 表示。
-s 遞迴子目錄
-t[u][v] 傾印指定憑證存放區的內容 ('*' 表示所有存放區)。
指定 -tu 來查詢使用者存放區 (預設值為電腦存放區)。
附加 '-v' 以讓 Sigcheck 下載受信任的 Microsoft 根憑證清單,並且只輸出未在該清單上憑證根目錄的有效憑證。 如果無法存取網站,則會改用目前目錄中的 authrootstl.cab 或 authroot.stl (如果有的話)。
-u 如果已啟用 VirusTotal 檢查,則顯示 VirusTotal 未知或有非零偵測的檔案,否則只顯示未簽署的檔案。
-v[rs] 查詢 VirusTotal (www.virustotal.com),以了解是否有以檔案雜湊為基礎的惡意程式碼。
新增 'r' 以開啟具有非零偵測的檔案的報告。
如果指定了 's' 選項,則會將報告為先前未掃描的檔案上傳至 VirusTotal。 請注意,掃描結果可能在五分鐘之後才能提供。
-vt 使用 VirusTotal 功能之前,您必須接受 VirusTotal 服務條款。 請參閱:https://www.virustotal.com/en/about/terms-of-service/如果您未接受條款並省略此選項,將會以互動方式提示您。

使用該工具的其中一種方式是使用此命令檢查 \Windows\System32 目錄中是否有未簽署的檔案:

sigcheck -u -e c:\windows\system32

您應該調查未簽署的任何檔案的目的。

下載下載 Sigcheck (664 KB)

執行於:

  • 用戶端:Windows 8.1 和更新版本
  • 伺服器:Windows Server 2012 和更新版本
  • Nano Server:2016 和更新版本

深入了解