Categoría: Información del Sistema
Versión: v2.82
Última actualización: 27/07/2021
Resumen: Sigcheck
OS: Cliente: Windows Vista y Superior
Servidor: Windows Server 2008 y Superior
Nano Server: 2016 y Superior
Sigcheck es una utilidad de línea de comandos que muestra el número de versión del archivo, la información de la marca de tiempo y los detalles de la firma digital, incluidas las cadenas de certificados. También incluye una opción para comprobar el estado de un archivo en VirusTotal, un sitio que realiza un análisis de archivos automatizado contra más de 40 motores antivirus, y una opción para cargar un archivo para su análisis.
sigcheck [-a][-h][-i][-e][-l][-n][[-s]|[-c|-ct]|[-m]][-q][-r][-u][-vt][-v[r][s]][-f catalog file] <file or directory>
Usigcheck -d [-c|-ct] <file or directory>
sigcheck -o [-vt][-v[r]] <sigcheck csv file>
sigcheck -t[u][v] [-i] [-c|-ct] <certificate store name|*>
| Paámetro | Descripción |
|---|---|
| -a | Mostrar información de versión extendida. La medida de entropía reportada son los bits por byte de información del contenido del archivo. |
| -ccepteula | Aceptar silenciosamente el EULA de Sigcheck (sin aviso interactivo) |
| -c | salida CSV con delimitador de coma |
| -ct | Salida CSV con delimitador de tabulación |
| -d | Volcar el contenido de un archivo de catálogo |
| -e | Analiza solo imágenes ejecutables (independientemente de su extensión) |
| -f | Buscar firma en el archivo de catálogo especificado |
| -h | Mostrar hashes de archivo |
| -i | Mostrar el nombre del catálogo y la cadena de firmas |
| -l | Atraviesa enlaces simbólicos y cruces de directorios |
| -m | Volcar manifiesto |
| -n | Solo muestra el número de versión del archivo |
| -o | Realiza búsquedas de Virus Total de hashes capturados en un archivo CSV capturado previamente por Sigcheck cuando se usa la opción -h. Este uso está destinado a análisis de sistemas fuera de línea. |
| -nobanner | Modo Silencioso (sin banner) |
| -r | Deshabilitar verificación de revocación de certificados |
| -p | Verifica las firmas contra la política especificada, representada por su GUID. |
| -s | -Subdirectorios recursivos |
| -t[u][v] | Volcar el contenido del almacén de certificados especificado (‘*’ para todos los almacenes). Especifica -tu para consultar el almacén de usuarios (el almacén de máquinas es el predeterminado). Agrega ‘-v’ para que Sigcheck descargue la lista de certificados raíz de confianza de Microsoft y solo genere certificados válidos que no estén enraizados en un certificado de esa lista. Si no se puede acceder al sitio, se usa authrootstl.cab o authroot.stl en el directorio actual, si está presente. |
| -u | Si la verificación de VirusTotal está habilitada, muestra los archivos que VirusTotal desconoce o tienen una detección distinta de cero; de lo contrario, muestra solo los archivos sin firmar. |
| -v[rs] | Consulta VirusTotal (www.virustotal.com) en busca de malware basado en hash de archivo. Agrega ‘r’ para abrir informes de archivos con detección distinta de cero. Los archivos notificados como no analizados previamente se cargarán en VirusTotal si se especifica la opción ‘s’. Ten en cuenta que es posible que los resultados del análisis no estén disponibles durante cinco minutos o más. |
| -vt | Antes de utilizar las funciones de VirusTotal, debes aceptar los términos de servicio de VirusTotal. Consulte: https://www.virustotal.com/en/about/terms-of-service/ Si no has aceptado los términos y omites esta opción, se te solicitará de forma interactiva. |
Una forma de usar la herramienta es buscar archivos sin firmar en los directorios \Windows\System32 con este comando:
sigcheck -u -e c:\windows\system32
Si encuentras algún error o aporte a la información proporcionada por favor dirígela a soporte@ehack.mx
Usted debería investigar el propósito de cualquier archivo que no esté firmado
Búsqueda de malware con las herramientas de Sysinternals
En esta presentación, Mark muestra cómo usar las herramientas de Sysinternals para identificar, analizar y limpiar malware.
Sigcheck: Imágenes cortesía by Nala Systems
Sigcheck by Roberto C. González traducido y ampliado para Ethical Hack algunas partes se adaptan directamente del sitio SysInternals de Microsoft ©2022, Ethical Hack, Todos los derechos reservados sobre la traducción. ©2022, Ethical Hack, Todos los derechos reservados sobre el contenido propio.
El comando dnsenum es una herramienta de línea de comandos para realizar enumeración de DNS…
En esta entrada te presento 24 de las listas negras más comunes que los servidores…
ZoomIt es una herramienta de anotación y zoom de pantalla para presentaciones técnicas que incluyen…
WinObj es el visor de espacios de nombres de Object Manager definitivo. Es la primera…
Whois realiza el registro de registro para el nombre de dominio o la dirección IP…
VolumeID – Esta utilidad, le permite cambiar los identificadores de los discos FAT y NTFS…