Tìm hiểu về Sigcheck của Microsoft

Sigcheck là một tiện ích dòng lệnh hiển thị số phiên bản file, thông tin timestamp và chi tiết chữ ký số, bao gồm chuỗi chứng chỉ. Nó cũng bao gồm một tùy chọn để kiểm tra trạng thái một file trên VirusTotal.com, một trang web thực hiện quét file tự động với hơn 40 công cụ diệt virus và tùy chọn upload file.

usage: sigcheck [-a][-h][-i][-e][-l][-n][[-s]|[-c|-ct]|[-m]][-q][-r][-u][-vt][-v[r][s]][-f catalog file] <file or directory>
usage: sigcheck -d [-c|-ct] <file or directory>
usage: sigcheck -o [-vt][-v[r]] <sigcheck csv file>
usage: sigcheck -t[u][v] [-i] [-c|-ct] <certificate store name|*>

Sigcheck

Tham sốMô tả
-aHiển thị thông tin phiên bản mở rộng. Số đo entropy (phân tích entropy sẽ giúp phát hiện mã độc) được báo cáo là các bit trên mỗi byte thông tin của nội dung file.
-cĐầu ra CSV với dấu phẩy phân cách.
-ctĐầu ra CSV với dấu phân cách là phím tab.
-dNội dung kết xuất của một file catalog.
-eChỉ quét các image thực thi (bất kể phần mở rộng của chúng).
-fTìm chữ ký trong file catalog được chỉ định.
-hHiển thị các hash của file.
-iHiển thị tên và chuỗi chữ ký của catalog.
-lĐi qua các liên kết tượng trưng và liên kết cứng (directory junction).
-mKết xuất các bản lược khai.
-nChỉ hiển thị số phiên bản file.
-oDùng Virus Total tra cứu hash được ghi trong file CSV (đã được Sighcheck thu thập trước đó) khi sử dụng tùy chọn -h. Tính năng này dành riêng cho việc quét các hệ thống ngoại tuyến.
-qYên lặng (không có banner).
-rVô hiệu hóa tính năng kiểm tra thu hồi chứng chỉ.
-sĐệ quy (recurse) các thư mục con.
-t[u][v]- Kết xuất nội dung của các store chứng chỉ được chỉ định ('*' đại diện cho tất cả các store).
- Chỉ định -tu để truy vấn user store (machine store là tùy chọn mặc định).
- Kết hợp cùng '-v' để Sigcheck tải xuống danh sách chứng chỉ gốc đáng tin cậy của Microsoft, và chỉ xuất các chứng chỉ hợp lệ không được root vào một chứng chỉ trong danh sách đó. Nếu trang web không thể truy cập, authrootstl.cab hoặc authroot.stl trong thư mục hiện hành được sử dụng thay thế (nếu có).
-uNếu tính năng kiểm tra của VirusTotal được kích hoạt, các file mà VirusTotal không xác định hoặc có phát hiện non-zero (chứa các chữ số khác không) sẽ được hiển thị, nếu không thì nó chỉ hiển thị các file không được ký mà thôi.
-v[rs]- Truy vấn VirusTotal (www.virustotal.com) cho phần mềm độc hại dựa trên hash file.
- Thêm 'r' để mở báo cáo cho các file được phát hiện là non-zero.
- Các file được báo cáo là chưa được quét trước đó sẽ được upload lên VirusTotal, nếu tùy chọn 's' được chỉ định. Lưu ý phải mất từ 5 phút trở lên để có kết quả quét.
-vtTrước khi sử dụng các tính năng của VirusTotal, người dùng phải chấp nhận các điều khoản dịch vụ của VirusTotal. Truy cập https://www.virustotal.com/en/about/terms-of-service/ để biết thêm chi tiết. Nếu chưa chấp nhận các điều khoản và bỏ qua tùy chọn này, người dùng sẽ thấy thông báo nhắc nhở xuất hiện.

Một cách để sử dụng công cụ này là kiểm tra các file chưa được ký trong các thư mục \Windows\System32 bằng lệnh này:

sigcheck -u -e c:\windows\system32

Người dùng nên kiểm tra bất kỳ file nào không được ký.

Công cụ Sigcheck chạy trên:

  • Client: Windows Vista trở lên
  • Server: Windows Server 2008 trở lên
  • Nano Server: 2016 trở lên

Tải Sigcheck.

Vui lòng tham khảo bài viết: Thủ thuật kiểm tra Certificate của phần mềm có an toàn không để biết chi tiết hơn cách sử dụng Sigcheck.

Xem thêm:

Thứ Năm, 17/01/2019 16:42
52 👨 331
0 Bình luận
Sắp xếp theo
    ❖ Kiến thức cơ bản