Sigcheck v2.90
Di Mark Russinovich
Data di pubblicazione: 19 luglio 2022
Scaricare Sigcheck(664 KB)
Introduzione
Sigcheck è un'utilità della riga di comando che mostra il numero di versione del file, le informazioni sul timestamp e i dettagli della firma digitale, incluse le catene di certificati. Include anche un'opzione per controllare lo stato di un file in VirusTotal, un sito che esegue l'analisi automatica dei file su oltre 40 motori antivirus e un'opzione per caricare un file per l'analisi.
sintassi:
sigcheck [-a][-h][-i][-e][-l][-n][[-s]|[-c|-ct]|[-m]][-q][-r][-u][-vt][-v[r][s]][-f catalog file] <file or directory>
sigcheck -d [-c|-ct] <file or directory>
usage: sigcheck -t[u][v] [-i] [-c|-ct] <certificate store name|*>
| Parametro | Descrizione |
|---|---|
| -a | Mostra informazioni sulla versione estesa. La misura di entropia segnalata rappresenta i bit per byte di informazioni del contenuto del file. |
| -accepteula | Accetta automaticamente il contratto di licenza Sigcheck (nessun prompt interattivo) |
| -c | Output CSV con delimitatore di virgola |
| -ct | Output CSV con delimitatore di tabulazione |
| -d | Esegue il dump del contenuto di un file di catalogo |
| -e | Analizza solo le immagini eseguibili (indipendentemente dall'estensione) |
| -f | Cerca la firma nel file di catalogo specificato |
| -h | Mostra gli hash dei file |
| -i | Mostra il nome del catalogo e la catena di firma |
| -l | Attraversa collegamenti simbolici e giunzioni di directory |
| -m | Esegue il dump del manifesto |
| -n | Mostra solo il numero di versione del file |
| -o | Esegue ricerche in Virus Total di hash acquisiti in un file CSV acquisito in precedenza da Sigcheck quando si usa l'opzione -h. Questo utilizzo è destinato alle analisi dei sistemi offline. |
| -nobanner | Non visualizza il banner di avvio e il messaggio di copyright. |
| -r | Disabilita il controllo della revoca dei certificati |
| -p | Verifica le firme rispetto ai criteri specificati, rappresentati dal relativo GUID. |
| -s | Ricorsione delle sottodirectory |
| -t[u][v] | Esegue il dump del contenuto dell'archivio certificati specificato ('*' per tutti gli archivi). Specificare -tu per eseguire una query sull'archivio utenti (l'archivio computer è l'impostazione predefinita). Aggiungere '-v' per fare in modo che Sigcheck scarichi l'elenco di certificati radice Microsoft attendibili e restituisca solo i certificati validi che non contengono una radice in un certificato presente in tale elenco. Se il sito non è accessibile, vengono invece usati authrootstl.cab o authroot.stl nella directory corrente, se presente. |
| -u | Se il controllo VirusTotal è abilitato, mostra i file sconosciuti a VirusTotal o con rilevamento diverso da zero; in caso contrario, mostra solo i file non firmati. |
| -v[rs] | Esegue una query su VirusTotal (www.virustotal.com) per trovare il malware in base all'hash del file. Aggiungere 'r' per aprire i report per i file con rilevamento diverso da zero. I file segnalati come non analizzati in precedenza verranno caricati in VirusTotal se è specificata l'opzione 's'. Si noti che i risultati dell'analisi potrebbero non essere disponibili per cinque o più minuti. |
| -vt | Prima di usare le funzionalità di VirusTotal, è necessario accettare le condizioni per l'utilizzo del servizio. Vedere: https://www.virustotal.com/en/about/terms-of-service/ Se le condizioni non sono state accettate e si omette questa opzione, verrà visualizzata una richiesta interattiva. |
Un modo per usare lo strumento consiste nel verificare la presenza di file non firmati nelle directory \Windows\System32 con questo comando:
sigcheck -u -e c:\windows\system32
È consigliabile esaminare lo scopo di tutti i file non firmati.
Scaricare Sigcheck(664 KB)
In esecuzione su:
- Client: Windows 8.1 e versioni successive
- Server: Windows Server 2012 e versioni successive
- Nano Server: 2016 e versioni successive
Ulteriori informazioni
- Ricerca di malware con gli strumenti Sysinternals
In questa presentazione Mark mostra come usare gli strumenti Sysinternals per identificare, analizzare e pulire il malware.