Sigcheck — это утилита для работы с командной строкой, которая показывает версию файла, дату и время его создания и информацию о цифровой подписи, включая цепочку сертификатов. Она также позволяет проверить файл на VirusTotal, сайт, который сканирует файлы с помощью более чем 40 антивирусных программ, и параметр для отправки файла на сканирование.
Синтаксис
Пример:
Одним из способов использования этого средства является проверка наличия неподписанных файлов в \Windows\System32 каталогах с помощью следующей команды:
-a Отображение сведений о расширенной версии. Сообщаемая мера энтропии — это биты в байтах информации о содержимом файла.
-accepteula Автоматически примите условия лицензионного соглашения Sigcheck (без интерактивного запроса)
-c Выходные данные CSV с разделителями-запятыми
-ct Выходные данные CSV с разделителем вкладок
-d Дампа содержимого файла каталога
-e Проверять только исполняемые образы (независимо от их расширения)
-f Поиск подписи в указанном файле каталога
-h Отображение хэшей файлов
-i Отображение имени каталога и цепочки подписывания
-l Обход символьных ссылок и соединений каталогов
-m Манифест дампа
-n Показывать только номер версии файла
-o Выполняет общий поиск хэшей вирусов, захваченных в CSV-файле, ранее захваченном Сигчеком при использовании параметра -h. Это использование предназначено для сканирования автономных систем.
-nobanner Не отображайте баннер запуска и сообщение об авторских правах.
-r Отключение проверки отзыва сертификатов
-p Проверьте сигнатуры для указанной политики, представленной идентификатором GUID.
-s Рекурсивные подкаталоги
-t[U][v] Дамп содержимого указанного хранилища сертификатов ("*" для всех хранилищ).
Укажите -tu для запроса к пользовательскому хранилищу (по умолчанию используется хранилище компьютеров).
Добавьте "-v", чтобы Сигcheck скачал список доверенных корневых сертификатов Майкрософт и выводил только допустимые сертификаты, которые не были корневыми в этом списке. Если сайт недоступен, вместо этого используются authrootstl.cab или authroot.stl в текущем каталоге, если он присутствует.
-u Если включена проверка VirusTotal, отобразятся файлы, неизвестные VirusTotal или не являющиеся нулевыми, в противном случае отображаются только неподписанные файлы.
-v[rs] Запрос VirusTotal (www.virustotal.com) для вредоносных программ на основе хэша файлов.
Добавьте "r", чтобы открыть отчеты для файлов с ненулевым обнаружением.
Файлы, зарегистрированные как не проверенные ранее, будут отправлены в VirusTotal, если указан параметр s. Обратите внимание, что результаты сканирования могут быть недоступны в течение пяти или более минут.
-vt Перед использованием функций VirusTotal необходимо принять условия обслуживания VirusTotal. См. статью: https://www.virustotal.com/en/about/terms-of-service/ Если вы не приняли условия и пропустите этот параметр, вам будет предложено в интерактивном режиме.
Синтаксис
CMD/BATCH:
sigcheck [-a][-h][-i][-e][-l][-n][[-s]|[-c|-ct]|[-m]][-q][-r][-u][-vt][-v[r][s]][-f catalog file] <file or directory>
sigcheck -d [-c|-ct] <file or directory>
usage: sigcheck -t[u][v] [-i] [-c|-ct] <certificate store name|*>Пример:
Одним из способов использования этого средства является проверка наличия неподписанных файлов в \Windows\System32 каталогах с помощью следующей команды:
sigcheck -u -e c:\windows\system32-a Отображение сведений о расширенной версии. Сообщаемая мера энтропии — это биты в байтах информации о содержимом файла.
-accepteula Автоматически примите условия лицензионного соглашения Sigcheck (без интерактивного запроса)
-c Выходные данные CSV с разделителями-запятыми
-ct Выходные данные CSV с разделителем вкладок
-d Дампа содержимого файла каталога
-e Проверять только исполняемые образы (независимо от их расширения)
-f Поиск подписи в указанном файле каталога
-h Отображение хэшей файлов
-i Отображение имени каталога и цепочки подписывания
-l Обход символьных ссылок и соединений каталогов
-m Манифест дампа
-n Показывать только номер версии файла
-o Выполняет общий поиск хэшей вирусов, захваченных в CSV-файле, ранее захваченном Сигчеком при использовании параметра -h. Это использование предназначено для сканирования автономных систем.
-nobanner Не отображайте баннер запуска и сообщение об авторских правах.
-r Отключение проверки отзыва сертификатов
-p Проверьте сигнатуры для указанной политики, представленной идентификатором GUID.
-s Рекурсивные подкаталоги
-t[U][v] Дамп содержимого указанного хранилища сертификатов ("*" для всех хранилищ).
Укажите -tu для запроса к пользовательскому хранилищу (по умолчанию используется хранилище компьютеров).
Добавьте "-v", чтобы Сигcheck скачал список доверенных корневых сертификатов Майкрософт и выводил только допустимые сертификаты, которые не были корневыми в этом списке. Если сайт недоступен, вместо этого используются authrootstl.cab или authroot.stl в текущем каталоге, если он присутствует.
-u Если включена проверка VirusTotal, отобразятся файлы, неизвестные VirusTotal или не являющиеся нулевыми, в противном случае отображаются только неподписанные файлы.
-v[rs] Запрос VirusTotal (www.virustotal.com) для вредоносных программ на основе хэша файлов.
Добавьте "r", чтобы открыть отчеты для файлов с ненулевым обнаружением.
Файлы, зарегистрированные как не проверенные ранее, будут отправлены в VirusTotal, если указан параметр s. Обратите внимание, что результаты сканирования могут быть недоступны в течение пяти или более минут.
-vt Перед использованием функций VirusTotal необходимо принять условия обслуживания VirusTotal. См. статью: https://www.virustotal.com/en/about/terms-of-service/ Если вы не приняли условия и пропустите этот параметр, вам будет предложено в интерактивном режиме.
