Sysinternals

SigCheck – SysInternals

Categoría: Información del Sistema
Versión: v2.82
Última actualización: 27/07/2021
Resumen: Sigcheck
OS: Cliente: Windows Vista y Superior
Servidor: Windows Server 2008 y Superior
Nano Server: 2016 y Superior

Introducción

Sigcheck es una utilidad de línea de comandos que muestra el número de versión del archivo, la información de la marca de tiempo y los detalles de la firma digital, incluidas las cadenas de certificados. También incluye una opción para comprobar el estado de un archivo en VirusTotal, un sitio que realiza un análisis de archivos automatizado contra más de 40 motores antivirus, y una opción para cargar un archivo para su análisis.

Sintaxis (línea de comandos)

sigcheck [-a][-h][-i][-e][-l][-n][[-s]|[-c|-ct]|[-m]][-q][-r][-u][-vt][-v[r][s]][-f catalog file] <file or directory>
Usigcheck -d [-c|-ct] <file or directory>
sigcheck -o [-vt][-v[r]] <sigcheck csv file>
sigcheck -t[u][v] [-i] [-c|-ct] <certificate store name|*>
PaámetroDescripción
-aMostrar información de versión extendida. La medida de entropía reportada son los bits por byte de información del contenido del archivo.
-ccepteulaAceptar silenciosamente el EULA de Sigcheck (sin aviso interactivo)
-csalida CSV con delimitador de coma
-ctSalida CSV con delimitador de tabulación
-dVolcar el contenido de un archivo de catálogo
-eAnaliza solo imágenes ejecutables (independientemente de su extensión)
-fBuscar firma en el archivo de catálogo especificado
-hMostrar hashes de archivo
-iMostrar el nombre del catálogo y la cadena de firmas
-lAtraviesa enlaces simbólicos y cruces de directorios
-mVolcar manifiesto
-nSolo muestra el número de versión del archivo
-oRealiza búsquedas de Virus Total de hashes capturados en un archivo CSV capturado previamente por Sigcheck cuando se usa la opción -h. Este uso está destinado a análisis de sistemas fuera de línea.
-nobannerModo Silencioso (sin banner)
-rDeshabilitar verificación de revocación de certificados
-pVerifica las firmas contra la política especificada, representada por su GUID.
-s-Subdirectorios recursivos
-t[u][v] Volcar el contenido del almacén de certificados especificado (‘*’ para todos los almacenes).
Especifica -tu para consultar el almacén de usuarios (el almacén de máquinas es el predeterminado).
Agrega ‘-v’ para que Sigcheck descargue la lista de certificados raíz de confianza de Microsoft y solo genere certificados válidos que no estén enraizados en un certificado de esa lista. Si no se puede acceder al sitio, se usa authrootstl.cab o authroot.stl en el directorio actual, si está presente.
-uSi la verificación de VirusTotal está habilitada, muestra los archivos que VirusTotal desconoce o tienen una detección distinta de cero; de lo contrario, muestra solo los archivos sin firmar.
-v[rs] Consulta VirusTotal (www.virustotal.com) en busca de malware basado en hash de archivo.
Agrega ‘r’ para abrir informes de archivos con detección distinta de cero.
Los archivos notificados como no analizados previamente se cargarán en VirusTotal si se especifica la opción ‘s’. Ten en cuenta que es posible que los resultados del análisis no estén disponibles durante cinco minutos o más.
-vtAntes de utilizar las funciones de VirusTotal, debes aceptar los términos de servicio de VirusTotal. Consulte: https://www.virustotal.com/en/about/terms-of-service/ Si no has aceptado los términos y omites esta opción, se te solicitará de forma interactiva.

Una forma de usar la herramienta es buscar archivos sin firmar en los directorios \Windows\System32 con este comando:

sigcheck -u -e c:\windows\system32

Informar de errores

Si encuentras algún error o aporte a la información proporcionada por favor dirígela a soporte@ehack.mx

Otras consideraciones

Usted debería investigar el propósito de cualquier archivo que no esté firmado

Obtener el programa

Referencias

Búsqueda de malware con las herramientas de Sysinternals
En esta presentación, Mark muestra cómo usar las herramientas de Sysinternals para identificar, analizar y limpiar malware.


Fuente Imágenes

Sigcheck: Imágenes cortesía by Nala Systems

Sigcheck by Roberto C. González traducido y ampliado para Ethical Hack algunas partes se adaptan directamente del sitio SysInternals de Microsoft
©2022, Ethical Hack, Todos los derechos reservados sobre la traducción.
©2022, Ethical Hack, Todos los derechos reservados sobre el contenido propio.

Powered by – Ethical Hack

eHack Blog

Entradas recientes

dnsenum

El comando dnsenum es una herramienta de línea de comandos para realizar enumeración de DNS…

1 año hace

Las 24 listas negras de IPv4 más comunes.

En esta entrada te presento 24 de las listas negras más comunes que los servidores…

2 años hace

ZoomIt – SysInternals

ZoomIt es una herramienta de anotación y zoom de pantalla para presentaciones técnicas que incluyen…

2 años hace

WinObj – SysInternals

WinObj es el visor de espacios de nombres de Object Manager definitivo. Es la primera…

2 años hace

WhoIs – SysInternals

Whois realiza el registro de registro para el nombre de dominio o la dirección IP…

2 años hace

VolumeID – SysInternals

VolumeID – Esta utilidad, le permite cambiar los identificadores de los discos FAT y NTFS…

2 años hace