Sigcheck v2.82

Por Mark Russinvl

Publicado: 27 de julio de 2021

DescargarSigcheck de descarga(1,2 MB)

Introducción

Sigcheck es una utilidad de línea de comandos que muestra el número de versión del archivo, la información de marca de tiempo y los detalles de la firma digital, incluidas las cadenas de certificados. También incluye una opción para comprobar el estado de un archivo en VirusTotal,un sitio que realiza el examen automatizado de archivos en más de 40 motores antivirus y una opción para cargar un archivo para su examen.

usage: sigcheck [-a][-h][-i][-e][-l][-n][[-s]|[ -c|-ct]| [-m]] [-q] [-r] [-u] [-vt] [-v[r][s]] [-f archivo de catálogo] archivo o directorio>

usage: archivo o directorio sigcheck -d [-c|-ct] >

usage: sigcheck -o [-vt][-v[r]] sigcheck csv file>

usage: sigcheck -t[u][v] [-i] [-c|-ct] nombre del almacén de certificados|*>

Parámetro Descripción
-a Mostrar información de versión extendida. La medida de entropía notificada son los bits por byte de información del contenido del archivo.
-accepteula Aceptación silenciosa del CLUF de Sigcheck (sin aviso interactivo)
-c Salida CSV con delimitador de comas
-ct Salida CSV con delimitador de tabulación
-d Volcado del contenido de un archivo de catálogo
-e Examinar solo imágenes ejecutables (independientemente de su extensión)
-f Buscar firma en el archivo de catálogo especificado
-h Mostrar hashes de archivo
-i Mostrar el nombre del catálogo y la cadena de firma
-l Recorrer vínculos simbólicos y uniones de directorio
-m Volcado de manifiesto
-n Mostrar solo el número de versión del archivo
-o Realiza búsquedas totales de virus de hashes capturados en un archivo CSV capturado previamente por Sigcheck cuando se usa la opción -h. Este uso está pensado para exámenes de sistemas sin conexión.
-nobanner Quiet (sin banner)
-r Deshabilitación de la comprobación de la revocación de certificados
-p Compruebe las firmas con la directiva especificada, representada por su GUID.
-s Subdirectorios recursos
-t[u][v] Volcar el contenido del almacén de certificados especificado ('*' para todos los almacenes).
Especifique -tu para consultar el almacén de usuarios (el almacén de la máquina es el predeterminado).
Anexe "-v" para que Sigcheck descargue la lista de certificados raíz de Microsoft de confianza y solo los certificados válidos que no se han rooteado en un certificado de esa lista. Si el sitio no es accesible, authrootstl.cab o authroot.stl en el directorio actual se usan en su lugar, si están presentes.
-u Si la comprobación de VirusTotal está habilitada, muestre los archivos desconocidos por VirusTotal o que tengan una detección que no sea cero; de lo contrario, muestre solo los archivos sin signo.
-v[rs] Consulte VirusTotal (www.virustotal.com) para buscar malware basado en hash de archivo.
Agregue "r" para abrir informes de archivos con detección que no sea cero.
Los archivos notificados como no analizados previamente se cargarán en VirusTotal si se especifica la opción 's'. Tenga en cuenta que los resultados del examen pueden no estar disponibles durante cinco o más minutos.
-vt Antes de usar las características de VirusTotal, debe aceptar los términos de servicio de VirusTotal. Vea: Si no ha aceptado los términos y omite esta https://www.virustotal.com/en/about/terms-of-service/ opción, se le pedirá de forma interactiva.

Una manera de usar la herramienta es buscar archivos sin signo en los directorios \Windows\System32 con este comando:

sigcheck -u -e c:\windows\system32

Debe investigar el propósito de los archivos que no están firmados.

DescargarSigcheck de descarga(1,2 MB)

Se ejecuta en:

  • Cliente: Windows Vista y versiones posteriores
  • Servidor: Windows Server 2008 y posteriores
  • Nano Server: 2016 y posteriores

Más información