Sigcheck v2.82

作者:Mark Russinovich

发布时间: 2021 年 7 月 27 日

Download下载 Sigcheck (1.2 MB)

简介

Sigcheck 是一个命令行实用工具,它显示文件版本号、时间戳信息和数字签名详细信息,包括证书链。 它还包括一个选项,用于检查 VirusTotal 上的文件状态、针对 40 多个防病毒引擎执行自动文件扫描的网站,以及上传文件以供扫描的选项。

usage: sigcheck [-a][-h][-i][-e][-l][-n][-s]|[-c|-ct]|[-m]][-q][-r][-u][-vt][-v[r][s]][-f 目录文件] <文件或目录>

用法:sigcheck -d [-c|-ct] <文件或目录>

用法:sigcheck -o [-vt][-v[r]] <sigcheck csv 文件>

usage: sigcheck -t[u][v] [-i] [-c|-ct] <证书存储名称|*>

参数 说明
-a 显示扩展版本信息。 报告的 entropy 度量值是文件内容信息的字节数。
-accepteula 无提示地接受 Sigcheck EULA (没有交互式提示)
-c 带逗号分隔符的 CSV 输出
-ct 带制表符分隔符的 CSV 输出
-d 转储目录文件的内容
-e 仅扫描可执行映像 (,而不考虑其扩展)
-f 在指定的目录文件中查找签名
-h 显示文件哈希
-i 显示目录名称和签名链
-l 遍历符号链接和目录交界点
-m 转储清单
-n 仅显示文件版本号
-o 使用 -h 选项时,执行以前由 Sigcheck 捕获的 CSV 文件中捕获的哈希的病毒总数查找。 此用法适用于脱机系统的扫描。
-nobanner 安静 (没有横幅)
-r 禁用证书吊销检查
-p 根据指定的策略(由 GUID 表示)验证签名。
-s 递归子目录
-t[u][v] 为所有存储) 转储指定证书存储 (“*”的内容。
指定 -tu 以查询用户存储 (计算机存储是默认) 。
追加“-v”以让 Sigcheck 下载受信任的 Microsoft 根证书列表,并且仅输出未在该列表上为证书建立根的有效证书。 如果无法访问站点,则改用当前目录中的 authrootstl.cab 或 authroot.stl(如果存在)。
-u 如果启用了 VirusTotal 检查,则显示 VirusTotal 未知的文件或未检测,否则仅显示未签名的文件。
-v[rs] 基于文件哈希的恶意软件查询 VirusTotal (www.virustotal.com) 。
添加“r”以打开包含非零检测的文件的报表。
如果指定了“s”选项,则报告为以前未扫描的文件将上传到 VirusTotal。 请注意,扫描结果可能不可用 5 分钟或更多分钟。
-vt 在使用 VirusTotal 功能之前,必须接受 VirusTotal 服务条款。 请参阅: https://www.virustotal.com/en/about/terms-of-service/ 如果尚未接受条款并省略此选项,系统会以交互方式提示你。

使用该工具的一种方法是使用以下命令检查 \Windows\System32 目录中的未签名文件:

sigcheck -u -e c:\windows\system32

应调查未签名的任何文件的目的。

Download下载 Sigcheck (1.2 MB)

运行时间:

  • 客户端:Windows Vista 及更高版本
  • 服务器:Windows Server 2008 及更高版本
  • Nano Server:2016 及更高版本

了解更多