Sigcheck v2.90
Av Mark Russinovich
Publicerad: 19 juli 2022
Ladda ned Sigcheck (664 KB)
Introduktion
Sigcheck är ett kommandoradsverktyg som visar filversionsnummer, tidsstämpelinformation och information om digital signatur, inklusive certifikatkedjor. Den innehåller också ett alternativ för att kontrollera en fils status på VirusTotal, en webbplats som utför automatisk filgenomsökning mot över 40 antivirusmotorer och ett alternativ för att ladda upp en fil för genomsökning.
användning:
sigcheck [-a][-h][-i][-e][-l][-n][[-s]|[-c|-ct]|[-m]][-q][-r][-u][-vt][-v[r][s]][-f catalog file] <file or directory>
sigcheck -d [-c|-ct] <file or directory>
usage: sigcheck -t[u][v] [-i] [-c|-ct] <certificate store name|*>
| Parameter | beskrivning |
|---|---|
| -a | Visa information om utökad version. Etttropimåttet som rapporteras är bitar per byte av information om filens innehåll. |
| -accepteula | Acceptera Tyst Sigcheck EULA (ingen interaktiv fråga) |
| -c | CSV-utdata med kommaavgränsare |
| -Ct | CSV-utdata med tabbgränsare |
| -d | Dumpa innehållet i en katalogfil |
| -e | Skanna endast körbara avbildningar (oavsett tillägg) |
| -f | Leta efter signatur i den angivna katalogfilen |
| -h | Visa fil-hashvärden |
| -i | Visa katalognamn och signeringskedja |
| -L | Bläddra mellan symboliska länkar och katalogkorsningar |
| -m | Dumpmanifest |
| -n | Visa endast filversionsnummer |
| -o | Utför virus totalt antal sökningar av hashvärden som samlats in i en CSV-fil som tidigare avbildats av Sigcheck när du använder alternativet -h. Den här användningen är avsedd för genomsökningar av offlinesystem. |
| -nobanner | Visa inte startbanderollen och copyrightmeddelandet. |
| -r | Inaktivera kontroll av återkallande av certifikat |
| -p | Verifiera signaturer mot den angivna principen, som representeras av dess GUID. |
| -s | Recurse-underkataloger |
| -t[u][v] | Dumpa innehållet i det angivna certifikatarkivet ('*' för alla lager). Ange -tu för att fråga användararkivet (datorarkivet är standard). Lägg till -v om du vill att Sigcheck ska ladda ned den betrodda Microsoft-rotcertifikatlistan och endast mata ut giltiga certifikat som inte är rotade i ett certifikat i listan. Om webbplatsen inte är tillgänglig används authrootstl.cab eller authroot.stl i den aktuella katalogen i stället, om den finns. |
| -u | Om VirusTotal-kontrollen är aktiverad visar du filer som är okända av VirusTotal eller som inte har nollidentifiering, annars visas endast osignerade filer. |
| -v[rs] | Fråga VirusTotal (www.virustotal.com) om skadlig kod baserat på filhash. Lägg till "r" för att öppna rapporter för filer med icke-nollidentifiering. Filer som rapporterats som inte tidigare genomsökta laddas upp till VirusTotal om alternativet "s" har angetts. Observera att genomsökningsresultat kanske inte är tillgängliga på fem eller fler minuter. |
| -Vt | Innan du använder VirusTotal-funktioner måste du godkänna Användningsvillkor för VirusTotal. Se: https://www.virustotal.com/en/about/terms-of-service/ Om du inte har accepterat villkoren och utelämnar det här alternativet uppmanas du att göra det interaktivt. |
Ett sätt att använda verktyget är att söka efter osignerade filer i dina \Windows\System32 kataloger med det här kommandot:
sigcheck -u -e c:\windows\system32
Du bör undersöka syftet med alla filer som inte är signerade.
Ladda ned Sigcheck (664 KB)
Körs på:
- Klient: Windows 8.1 och senare
- Server: Windows Server 2012 och senare
- Nano Server: 2016 och senare
Läs mer
- Jakt på skadlig kod med Sysinternals-verktygen
I den här presentationen visar Mark hur du använder Sysinternals-verktygen för att identifiera, analysera och rensa skadlig kod.