Tìm hiểu về Sigcheck của Microsoft

Sigcheck là một tiện ích dòng lệnh hiển thị số phiên bản file, thông tin timestamp và chi tiết chữ ký số, bao gồm chuỗi chứng chỉ. Nó cũng bao gồm một tùy chọn để kiểm tra trạng thái một file trên VirusTotal.com, một trang web thực hiện quét file tự động với hơn 40 công cụ diệt virus và tùy chọn upload file.

usage: sigcheck [-a][-h][-i][-e][-l][-n][[-s]|[-c|-ct]|[-m]][-q][-r][-u][-vt][-v[r][s]][-f catalog file] <file or directory>
usage: sigcheck -d [-c|-ct] <file or directory>
usage: sigcheck -o [-vt][-v[r]] <sigcheck csv file>
usage: sigcheck -t[u][v] [-i] [-c|-ct] <certificate store name|*>

sigcheck 1 sigcheck 1

Tham số Mô tả
-a Hiển thị thông tin phiên bản mở rộng. Số đo entropy (phân tích entropy sẽ giúp phát hiện mã độc) được báo cáo là các bit trên mỗi byte thông tin của nội dung file.
-c Đầu ra CSV với dấu phẩy phân cách.
-ct Đầu ra CSV với dấu phân cách là phím tab.
-d Nội dung kết xuất của một file catalog.
-e Chỉ quét các image thực thi (bất kể phần mở rộng của chúng).
-f Tìm chữ ký trong file catalog được chỉ định.
-h Hiển thị các hash của file.
-i Hiển thị tên và chuỗi chữ ký của catalog.
-l Đi qua các liên kết tượng trưng và liên kết cứng (directory junction).
-m Kết xuất các bản lược khai.
-n Chỉ hiển thị số phiên bản file.
-o Dùng Virus Total tra cứu hash được ghi trong file CSV (đã được Sighcheck thu thập trước đó) khi sử dụng tùy chọn -h. Tính năng này dành riêng cho việc quét các hệ thống ngoại tuyến.
-q Yên lặng (không có banner).
-r Vô hiệu hóa tính năng kiểm tra thu hồi chứng chỉ.
-s Đệ quy (recurse) các thư mục con.
-t[u][v] – Kết xuất nội dung của các store chứng chỉ được chỉ định (‘*’ đại diện cho tất cả các store).
– Chỉ định -tu để truy vấn user store (machine store là tùy chọn mặc định).
– Kết hợp cùng ‘-v’ để Sigcheck tải xuống danh sách chứng chỉ gốc đáng tin cậy của Microsoft, và chỉ xuất các chứng chỉ hợp lệ không được root vào một chứng chỉ trong danh sách đó. Nếu trang web không thể truy cập, authrootstl.cab hoặc authroot.stl trong thư mục hiện hành được sử dụng thay thế (nếu có).
-u Nếu tính năng kiểm tra của VirusTotal được kích hoạt, các file mà VirusTotal không xác định hoặc có phát hiện non-zero (chứa các chữ số khác không) sẽ được hiển thị, nếu không thì nó chỉ hiển thị các file không được ký mà thôi.
-v[rs] – Truy vấn VirusTotal (www.virustotal.com) cho phần mềm độc hại dựa trên hash file.
– Thêm ‘r’ để mở báo cáo cho các file được phát hiện là non-zero.
– Các file được báo cáo là chưa được quét trước đó sẽ được upload lên VirusTotal, nếu tùy chọn ‘s’ được chỉ định. Lưu ý phải mất từ 5 phút trở lên để có kết quả quét.
-vt Trước khi sử dụng các tính năng của VirusTotal, người dùng phải chấp nhận các điều khoản dịch vụ của VirusTotal. Truy cập https://www.virustotal.com/en/about/terms-of-service/ để biết thêm chi tiết. Nếu chưa chấp nhận các điều khoản và bỏ qua tùy chọn này, người dùng sẽ thấy thông báo nhắc nhở xuất hiện.

Một cách để sử dụng công cụ này là kiểm tra các file chưa được ký trong các thư mục \Windows\System32 bằng lệnh này:

sigcheck -u -e c:\windows\system32

Người dùng nên kiểm tra bất kỳ file nào không được ký.

Công cụ Sigcheck chạy trên:

  • Client: Windows Vista trở lên
  • Server: Windows Server 2008 trở lên
  • Nano Server: 2016 trở lên

Tải Sigcheck.

Vui lòng tham khảo bài viết: Thủ thuật kiểm tra Certificate của phần mềm có an toàn không để biết chi tiết hơn cách sử dụng Sigcheck.

Xem thêm:

Related Posts

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *