Ако работите с Windows и сте загрижени за целостта на това, което работи на вашата система, Сигчек Това е една от онези основни помощни програми, които трябва да усвоите. Този инструмент от пакета Sysinternals ви позволява да проверявате файлове, да проверявате цифрови подписи, да преглеждате веригата от сертификати и дори да проверявате репутацията на файловете в... Virustotal без да напускате конзолата.
Философията му е проста: с една команда можете да разберете дали даден двоичен файл е подписан, от кого, кога и дали хешът му изглежда като злонамерен в множество антивирусни системи. Отвъд техническото любопитствоТова се превръща в реална способност за откриване на аномалии в критични пътища като System32, документиране на откритията и вземане на решения с надеждни данни.
Какво е Sigcheck и защо е важен
Сигчек е помощна програма за команден ред, създадена от Марк Русинович в Sysinternals, който показва версията на файла, времевите марки и подробности за цифровия подпис, включително пълната верига за сертифициране. Освен това, интегрира заявки към VirusTotal да сравнявате хешове с десетки антивирусни системи и да качвате несканирани файлове, ако желаете.
Типичното му приложение е за сканиране на системни директории и локализиране на неподписани изпълними файлове или такива с ненадеждни подписи. В легитимни местоположения като \System32 Всеки неподписан файл заслужава поне известно разследване. Неподписаният файл не означава автоматично, че е злонамерен, но буди подозрение и изисква проверка на източника и хеша му.
Проектът включва официална документация и примери, както и допълнителни справочни материали на сайтове като SS64 и различни технически ръководства. Общността е допринесла с преводи и разширения от оригиналната информация, като се подчертава нейната употреба както за ежедневно администриране, така и за реагиране при инциденти.
Съвместимост, версии и изтегляне
Наличната документация цитира различни диапазони на съвместимост в зависимост от източника. От една страна, тя показва, че работи на Клиент: Windows 8.1 и по-нова версия; Сървър: Windows Server 2012 и по-нова версия; Nano Server: 2016 и по-нова версияВ друг раздел е спомената по-широка съвместимост (Клиент: Windows Vista и по-нови версииСървър: Windows Server 2008 и по-нови версии; Nano Server: 2016 и по-нови версии). Във всеки случай, на съвременните системи работи без проблеми.
Що се отнася до версиите и препратките, има споменавания на редакция, обозначена като v2.82 и актуализирани бележки в средата на 2021 г., заедно с публикация от Русинович от Юли 2022 г. обяснявайки употребата му. Това, което е от значение за ежедневието, е, че Sigcheck е преносимИзтегляте ZIP файл, разархивирате го и стартирате двоичния файл, без традиционен инсталатор.
Удобен метод от PowerShell е да създадете папка (например Sysinternals), да я изтеглите и разархивирате:
Invoke-WebRequest -Uri https://download.sysinternals.com/files/Sigcheck.zip -OutFile Sigcheck.zip
Expand-Archive -Path .\Sigcheck.zip -DestinationPath .\
След това проверете дали отговаря с помощта: използвайте параметъра -? за да видите първоначалния синтаксис:
sigcheck.exe -?
Синтаксис и режими на изпълнение
Инструментът предлага няколко начина на употреба в зависимост от целта. Основните обаждания следвайте тези общи структури:
sigcheck [-a][-h][-i][-e][-l][-n][[-s]|[-c|-ct]|[-m]][-q][-r][-u][-vt][-v[r][s]][-f catalog_file] file_or_directory
sigcheck -d [-c|-ct] file_or_directory
sigcheck -o [-vt][-v[r]] sigcheck_csv_file
sigcheck -t[u][v] [-i] [-c|-ct] <certificate_store_name | *>
В някои документи модификаторът се появява -q в синтаксиса, въпреки че описанието му не е подробно; останалите параметри са документирани подробно описани и са обобщени по-долу.
Ключови параметри на Sigcheck
Модификаторите ви позволяват да коригирате всичко - от изходния формат до дълбочината на анализа, включително заявката. Virustotal или проверката на каталози с подписи. Тази таблица обобщава употребата му:
| Параметър | описание |
|---|---|
| -a | Показва разширена информация за версията; включва ентропия (битове на байт), за да се оцени случайността на съдържанието. |
| -accepteula | Мълчаливо приема ЛСКП на Sigcheck, без интерактивна подкана. |
| -c | Изход в CSV с разделител със запетая. |
| -ct | Изход в CSV с разделител на табулации. |
| -d | Изхвърля съдържанието на каталожен файл (котка). |
| -e | Само анализ изпълними изображения (независимо от дължината му). |
| -f | Потърсете подписа на каталог посочени. |
| -h | проба хешове от файла. |
| -i | Покажете име на каталог и веригата от подписи. |
| -l | Кръстове символни връзки и прелези от директории. |
| -m | Обърнете Manifiesto от файла. |
| -n | Отпечатайте само номер на версията от файла. |
| -безбанер | Скриване на началния банер и авторските права; безшумен режим. |
| -o | Заявка към VirusTotal за хешове, заснети в Предишно генериран CSV файл (с помощта на -h). Полезно за офлайн анализ. |
| -p | Проверка на подписите спрямо политика специфичен, обозначен с неговия GUID. |
| -r | Деактивира проверка за анулиране на сертификати. |
| -s | разходка поддиректории рекурсивно. |
| -t[u][v] | Изхвърля съдържанието на магазин за сертификати (използвайте * за всички). Добавете -tu, за да направите заявка към потребителското хранилище. С -tv ще се изтегли списъкът с Корените на доверието в Microsoft и ще изброи само валидни, не-root сертификати в този списък. Ако няма достъп, ще използва authrootstl.cab или authroot.stl от текущата директория, ако съществуват такива. |
| -u | С активирано сканиране с VirusTotal, той показва файлове неизвестно или с откриване > 0; в противен случай, покажете само неподписаните. |
| -v[rs] | Заявка за VirusTotal по хеш на файла. С r отваря доклади за тези, които са били открити; с s Качете несканирани файлове във VirusTotal (резултатите може да отнемат няколко минути). |
| -vt | Маркирайте приемане на Общите условия от VirusTotal (предпоставка за VT функции; в противен случай ще ви поиска потвърждение). |
Обърнете внимание, че можете да комбинирате параметрите според вашите нужди. Обичайното при одитите е да се съединят -u, -e, -s и -vt, и ако е приложимо -v за отчетите на VirusTotal.
VirusTotal: филтриране на заявки, термини и резултати
Sigcheck може да консултира www.virustotal.com да сравни хеша на всеки файл с множество антивирусни системи. За да използвате тези функции, първо трябва да приемете Общите условия (TOS). -vtАко не сте ги приели, инструментът може да покаже интерактивен подканен прозорец първия път.
Модификаторът -v активира хеш заявката. Ако добавите r ще отвори уеб отчетите за файловете с положително откриване и с s автоматично ще качи неанализираните. Не забравяйте, че Резултатите може да отнемат пет минути или повече когато бъде качен нов образец.
При анализ с много файлове е полезно първо да се генерира CSV с хешове използвайки -h (по избор с -c или -ct в зависимост от разделителя) и по-късно изпълнете:
sigcheck -o -vt -vr path\a\resultados.csv
По този начин Sigcheck ще изпълни търсения в CSV файла, предназначен за офлайн стриймове или на устройства без директен достъп до интернет.
Сертификати, магазини и корени на доверие
В допълнение към проверката на файлове, Sigcheck ви позволява да правите дъмпове и разгледайте хранилищата за сертификати местни жители. С -t посочвате склада по име (или * за всички); с -Вие запитва потребителското хранилище и по подразбиране машинното хранилище. Ако добавите - телевизор, ще изтегли списъка с корени от Microsoft и ще филтрира за показвай само валидни, незакачени сертификати в този списък.
Ако компютърът не може да осъществи достъп до сайта на Microsoft, Sigcheck ще използва authrootstl.cab или authroot.stl на текущата директория, ако има такава. Тази подробност е ключова в изолирани среди, лаборатории и криминалистика.
Офлайн анализ, каталози и криминалистични сценарии
Когато работите с изображения, получени от компютрите на жертвите, е добра идея да импортирате каталог на цифрови подписи от оригиналната система до аналитичното оборудване. В противен случай много подписи не могат да бъдат проверени. Типична процедура би била:
- Копирайте папките на криптографските услуги от образа на жертвата, например:
\C\Windows\System32\CatRoot\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}и нейният асоцииран партньор. - Преименувайте GUID-тата, за да избегнете конфликти, и ги поставете в един и същ еквивалентен път на компютъра за анализ, например:
\C\Windows\System32\CatRoot\{127D0A1D-4EF2-11D1-8608-00C04FC295E9}. - Рестартирайте услугата Криптографските услуги от
services.msc. - Изпълнете Sigcheck срещу монтирано изображение или извлечените директории.
За конкретни каталози можете да използвате -d (изхвърляне на съдържание) и -f (търсене на подпис в конкретен каталог). Тези опции Те са полезни за проверка на целостта на драйверите и системните компоненти.
Контекст: Sysinternals и VirusTotal
Sysinternals е набор от безплатни инструменти за управление и диагностика на Windows, придобити от Microsoft през 2006 г. Марк Русинович показа в презентации как да ги използва, за да откриване, анализ и почистване на зловреден софтуер, с практически техники, които допълват използването на Sigcheck.
От своя страна, Virustotal Роден е като испански проект и е придобит от Google през 2012 г. Той предлага анализ на файлове и URL адреси спрямо десетки търсачки и историческо хранилище на... откривания и метаданниСъс Sigcheck можете да разчитате на VT, без да напускате конзолата, което ускорява сортирането на артефакти.
Допълнителни бележки и препратки за употреба
Справочната документация предлага използването на команда като тази за System32, която се използва широко от администраторите:
sigcheck.exe -u -e -vt C:\Windows\System32
Ако ще преглеждате хиляди файлове, помислете пренасочване на изхода в TXT или CSV файл за по-късен одит и споделяне на резултатите с вашия екип.
Друга полезна техника е комбинирането на проверка на ентропията (-a) за откриване на пакетиращи файлове или евентуални обфускации, заедно с хешове (-h) и се консултирайте с VirusTotal (-v)Този многопластов подход увеличава вероятността за откриване на аномалии реални срещу фалшиво положителни резултати.
Малко напомняне за безопасност
Трябва да приемете условията на VirusTotal, за да активирате функциите му от Sigcheck (-vt). Ако компютърът не осъществи достъп до сайта, използвайте файловете authroot местните жители за проверка на корените на доверие. И като златен стандарт, проверете всички неподписани файлове преди да го стартирате, особено ако се намира в системни директории.
Sigcheck става съюзник за валидиране на целостта, автоматизиране на инвентаризации на подписи, генериране на CSV файлове за проверка, сравняване с VirusTotal и преглеждане на хранилища за сертификати. Това е лек, преносим и много мощен инструмент което, когато е правилно интегрирано във вашите работни процеси, ви спестява време и ви помага да вземате информирани решения при управлението и реагирането на инциденти.