Sigcheck v2.82
Por Mark Russinovich
Publicado: 27 de julho de 2021
Baixar Sigcheck(1.2 MB)
Introdução
O Sigcheck é um utilitário de linha de comando que mostra o número da versão do ficheiro, informações de marca de tempo e detalhes de assinaturas digitais, incluindo cadeias de certificados. Também inclui uma opção para verificar o estado de um ficheiro no VirusTotal, um site que realiza a digitalização automática de ficheiros contra mais de 40 motores antivírus, e uma opção para carregar um ficheiro para digitalização.
utilização: sigcheck [-a][-h][-i][-e][-l][-n][-s]|[ -c|-ct]| [-m]] [-q] [-r] [-u] [-vt] [-v[r][s]] [-f arquivo de catálogo] arquivo ou diretório>
utilização: ficheiro sigcheck -d [-c|-ct] ou diretório>
utilização: sigcheck -o [-vt][-v[r]] sigcheck csv file>
utilização: sigcheck -t[u][v] [-i] [-c|-ct] nome da loja de certificados|*>
| Parâmetro | Descrição |
|---|---|
| - um | Mostrar informações de versão estendidas. A medida de entropia reportada são os bits por byte de informação do conteúdo do ficheiro. |
| -accepteula | Aceite silenciosamente o Sigcheck EULA (sem solicitação interativa) |
| -c | Saída de CSV com delimiter de vírgula |
| -ct | Saída de CSV com delimiter de separador |
| -d | Despeje o conteúdo de um arquivo de catálogo |
| -e | Scaneie apenas imagens executáveis (independentemente da sua extensão) |
| -f | Procure por assinatura no ficheiro de catálogo especificado |
| -h | Mostrar hashes de arquivo |
| -i | Mostrar nome de catálogo e cadeia de assinaturas |
| -l | Traverse ligações simbólicas e junções de diretório |
| -m | Manifesto de despejo |
| -n | Mostrar apenas o número da versão do ficheiro |
| -o | Executa pesquisas de vírus Total de hashes capturadas num ficheiro CSV previamente capturado pelo Sigcheck ao utilizar a opção -h. Esta utilização destina-se a digitalizações de sistemas offline. |
| -nobanner | Silêncio (sem banner) |
| -r | Verificação de desativação para revogação de certificado |
| -p | Verifique as assinaturas contra a política especificada, representada pelo seu GUID. |
| -s | Repetir subdireções |
| -t[u][v] | Despeje o conteúdo da loja de certificados especificada ('*' para todas as lojas). Especifique -tu para consultar a loja do utilizador (a loja de máquinas é o padrão). Apêndice '-v' para que o Sigcheck descarregue a lista de certificados de raiz fidedignas da Microsoft e apenas certificados válidos de saída não enraizados num certificado nessa lista. Se o site não estiver acessível, authrootstl.cab ou authroot.stl no diretório atual são utilizados, se estiver presente. |
| -u | Se a verificação VirusTotal estiver ativada, mostrar ficheiros desconhecidos pelo VirusTotal ou ter deteção não-zero, caso contrário, apenas mostrem ficheiros não assinados. |
| -v[rs] | Consulta o VirusTotal(www.virustotal.com)para malware baseado em haxixe de ficheiro. Adicione 'r' para abrir relatórios para ficheiros com deteção não-zero. Os ficheiros reportados como não digitalizados previamente serão enviados para o VirusTotal se a opção 's' for especificada. Os resultados da verificação da nota podem não estar disponíveis durante cinco ou mais minutos. |
| -vt | Antes de utilizar as funcionalidades VirusTotal, tem de aceitar os termos de serviço VirusTotal. Ver: https://www.virustotal.com/en/about/terms-of-service/ Se não aceitou os termos e omitir esta opção, será interativamente solicitado. |
Uma forma de utilizar a ferramenta é verificar se existem ficheiros não assinados nos seus diretórios \Windows\System32 com este comando:
sigcheck -u -e c:\windows\system32
Deve investigar o propósito de quaisquer ficheiros que não estejam assinados.
Baixar Sigcheck(1.2 MB)
Continua:
- Cliente: Windows Vista e superior
- Servidor: Windows Server 2008 e mais alto
- Nano Server: 2016 e mais alto
Saiba Mais
- Caça ao malware com as ferramentas Sysinternals
Nesta apresentação, Mark mostra como usar as ferramentas Sysinternals para identificar, analisar e limpar malware.