Sigcheck v2.90
Door Mark Russinovich
Gepubliceerd: 19 juli 2022
Sigcheck downloaden(664 KB)
Introductie
Sigcheck is een opdrachtregelprogramma met bestandsversienummer, tijdstempelgegevens en gegevens van digitale handtekeningen, inclusief certificaatketens. Het bevat ook een optie om de status van een bestand op VirusTotal te controleren, een site die geautomatiseerde bestandscans uitvoert op meer dan 40 antivirusprogramma's en een optie om een bestand te uploaden voor scannen.
Gebruik:
sigcheck [-a][-h][-i][-e][-l][-n][[-s]|[-c|-ct]|[-m]][-q][-r][-u][-vt][-v[r][s]][-f catalog file] <file or directory>
sigcheck -d [-c|-ct] <file or directory>
usage: sigcheck -t[u][v] [-i] [-c|-ct] <certificate store name|*>
| Parameter | Omschrijving |
|---|---|
| -A | Uitgebreide versie-informatie weergeven. De gerapporteerde entropiemeting is de bits per byte van informatie van de inhoud van het bestand. |
| -accepteula | Accepteer op de achtergrond de Gebruiksrechtovereenkomst voor Sigcheck (geen interactieve prompt) |
| -C | CSV-uitvoer met kommascheidingsteken |
| -Ct | CSV-uitvoer met tabscheidingsteken |
| -d | Inhoud van een catalogusbestand dumpen |
| -E | Alleen uitvoerbare installatiekopieën scannen (ongeacht hun extensie) |
| -F | Zoeken naar handtekening in het opgegeven catalogusbestand |
| -H | Bestands-hashes weergeven |
| -I | Catalogusnaam en ondertekeningsketen weergeven |
| -L | Symbolische koppelingen en adreslijstkoppelingen doorkruisen |
| -M | Dumpmanifest |
| -N | Alleen versienummer van bestand weergeven |
| -O | Voert Virus Total-zoekacties van hashes uit die zijn vastgelegd in een CSV-bestand dat eerder is vastgelegd door Sigcheck wanneer u de optie -h gebruikt. Dit gebruik is bedoeld voor scans van offlinesystemen. |
| -nobanner | Geef de opstartbanner en het copyrightbericht niet weer. |
| -R | Controle op certificaatintrekking uitschakelen |
| -P | Handtekeningen controleren op basis van het opgegeven beleid, vertegenwoordigd door de BIJBEHORENDE GUID. |
| -S | Submappen recurse |
| -t[u][v] | Dumpinhoud van het opgegeven certificaatarchief ('*' voor alle winkels). Geef -tu op om een query uit te voeren op het gebruikersarchief (machinestore is de standaardinstelling). Voeg '-v' toe om sigcheck de lijst met vertrouwde Microsoft-basiscertificaten te laten downloaden en alleen geldige certificaten uit te voeren die niet zijn geroot naar een certificaat in die lijst. Als de site niet toegankelijk is, worden in plaats daarvan authrootstl.cab of authroot.stl in de huidige map gebruikt, indien aanwezig. |
| -U | Als VirusTotal-controle is ingeschakeld, geeft u bestanden weer die onbekend zijn door VirusTotal of niet-nuldetectie, anders worden alleen niet-ondertekende bestanden weergegeven. |
| -v[rs] | Query's uitvoeren op VirusTotal (www.virustotal.com) voor malware op basis van bestands-hash. Voeg r toe om rapporten te openen voor bestanden met niet-nuldetectie. Bestanden die zijn gerapporteerd als niet eerder gescand, worden geüpload naar VirusTotal als de optie 's' is opgegeven. De scanresultaten zijn mogelijk vijf of meer minuten niet beschikbaar. |
| -Vt | Voordat u VirusTotal-functies gebruikt, moet u de servicevoorwaarden van VirusTotal accepteren. Zie: https://www.virustotal.com/en/about/terms-of-service/ Als u de voorwaarden niet hebt geaccepteerd en u deze optie weglaat, wordt u interactief gevraagd. |
Een manier om het hulpprogramma te gebruiken is om met deze opdracht te controleren op niet-ondertekende bestanden in uw \Windows\System32 mappen:
sigcheck -u -e c:\windows\system32
U moet het doel onderzoeken van bestanden die niet zijn ondertekend.
Sigcheck downloaden(664 KB)
Wordt uitgevoerd op:
- Client: Windows 8.1 en hoger
- Server: Windows Server 2012 en hoger
- Nano Server: 2016 en hoger
Meer informatie
- Malware opsporen met de Sysinternals Tools
In deze presentatie laat Mark zien hoe u de Sysinternals-hulpprogramma's gebruikt om malware te identificeren, analyseren en op te schonen.