Sigcheck v2.90
作成者: Mark Russinovich
発行日: 2022 年 7 月 19 日
Sigcheck をダウンロード (664 KB)
はじめに
Sigcheck は、ファイルのバージョン番号、タイムスタンプ情報、および証明書チェーンを含むデジタル署名の詳細情報を表示するコマンド ライン ユーティリティです。 また、VirusTotal でファイルの状態をチェックするオプション、40 を超えるウイルス対策エンジンに対して自動ファイル スキャンを実行するサイト、ファイルをアップロードしてスキャンするオプションも含まれています。
使用方法:
sigcheck [-a][-h][-i][-e][-l][-n][[-s]|[-c|-ct]|[-m]][-q][-r][-u][-vt][-v[r][s]][-f catalog file] <file or directory>
sigcheck -d [-c|-ct] <file or directory>
usage: sigcheck -t[u][v] [-i] [-c|-ct] <certificate store name|*>
| パラメーター | 説明 |
|---|---|
| -a | 拡張バージョン情報を表示します。 報告されるエントロピ計測は、ファイルの内容に含まれるバイトあたりの情報のビット数です。 |
| -accepteula | Sigcheck EULA を通知なしで受け入れます (対話型プロンプトなし) |
| -c | コンマ区切り記号を使用した CSV 出力 |
| -ct | タブ区切り記号を使用した CSV 出力 |
| -d | カタログ ファイルの内容をダンプします |
| -e | 実行可能イメージのみをスキャンします (拡張機能に関係なく) |
| -f | 指定したカタログ ファイルで署名を探します |
| -h | ファイル ハッシュを表示します |
| -i | カタログ名と署名チェーンを表示します |
| -l | シンボリック リンクとディレクトリ ジャンクションを走査します |
| -m | マニフェストをダンプします |
| -n | ファイルのバージョン番号のみを表示します |
| -o | -h オプションを使用するときに、Sigcheck が以前キャプチャした CSV ファイルでキャプチャされたハッシュに対して VirusTotal 参照を実行します。 この使用は、オフライン システムのスキャンを目的としています。 |
| -nobanner | スタートアップ バナーと著作権メッセージを表示しないでください。 |
| -r | 証明書失効の確認を無効にします |
| -p | 指定したポリシーに対して署名を確認します (その GUID で表されます)。 |
| -s | サブディレクトリを再帰します |
| -t[u][v] | 指定した証明書ストアの内容をダンプします (すべてのストアの場合は "*")。 ユーザー ストアに対してクエリを実行するには、-tu を指定します (マシン ストアが既定です)。 "-v" を追加して、信頼済み Microsoft ルート証明書の一覧を Sigcheck でダウンロードし、その一覧の証明書にルート化されていない有効な証明書のみを出力します。 サイトにアクセスできない場合は、現在のディレクトリに authrootstl.cab または authroot.stl がある場合は、それが代わりに使用されます。 |
| -u | VirusTotal チェックが有効になっている場合は、VirusTotal で不明なファイルを表示するか、0 以外が検出されたファイルを表示します。それ以外の場合は、署名されていないファイルのみを表示します。 |
| -v[rs] | ファイル ハッシュに基づいて、VirusTotal (www.virustotal.com) に対してマルウェアのクエリを実行します。 "r" を追加して、ゼロ以外を検出したファイルのレポートを開きます。 "s" オプションが指定されている場合は、以前にスキャンされていないと報告されたファイルが VirusTotal にアップロードされます。 スキャン結果を 5 分以上使用できない場合があります。 |
| -vt | VirusTotal 機能を使用する前に、VirusTotal のサービス利用規約に同意する必要があります。 参照: https://www.virustotal.com/en/about/terms-of-service/ 利用規約に同意せず、このオプションを省略した場合は、対話形式で確認を求めるメッセージが表示されます。 |
ツールを使用する方法の 1 つは、次のコマンドを使用して、\Windows\System32 ディレクトリ内の署名されていないファイルをチェックすることです。
sigcheck -u -e c:\windows\system32
署名されていないファイルの目的を調査する必要があります。
Sigcheck をダウンロード (664 KB)
実行場所:
- クライアント: Windows 8.1以降
- サーバー: Windows Server 2012 以降
- Nano Server: 2016 以降
詳細情報
- Sysinternals ツールを使用したマルウェア ハンティング
このプレゼンテーションの中で、Mark は Sysinternals ツールを使用してマルウェアを特定、分析、およびクリーンアップする方法を示しています。