一、sigcheck 简介
Sigcheck是一款非常强大的工具,它可以用于验证文件的数字签名。Sigcheck是Windows Sysinternals工具套件的一部分,它可以方便地检查PE文件和代码签名证书,以及版本资源信息。Sigcheck可以帮助开发人员和系统管理员确保已下载的应用程序是无害的且完整的。
Sigcheck的功能十分强大,下面我们将从不同的角度为您介绍Sigcheck的精髓
二、文件检查及验证签名
Sigcheck的首要功能是检测PE文件及验证该文件的数字签名,下面以64位程序mp3tag为例,介绍Sigcheck的检测方式。
sigcheck64.exe -accepteula -u -e -c "C:\Windows\System32\mp3tag.exe"
上述命令将使用Sigcheck检查mp3tag的数字签名、时间戳以及版本号,并在命令行窗口中输出文件的MD5、SHA1和SHA256哈希值。
三、验证证书链
对于任何一个PE文件,我们总是可以通过自签名的方式给它设置数字证书,但是自签名证书的信任度不高,因此,可以在自签名的证书中设置一份合法数字证书的证书链。
使用Sigcheck可以非常容易的验证证书链,Sigcheck会检查证书链中每个证书及证书的颁发机构,根据此建立证书链并输出证书信息。
sigcheck64.exe -accepteula -v C:\Windows\System32\mp3tag.exe
上述命令将打印出mp3tag的证书信息,验证证书链中的每个证书都是由受信任的证书颁发机构颁发的。
四、检查内存驻留的文件
Sigcheck还可以检查内存驻留的进程中的文件或其他映射文件,我们可以使用-d参数启用此功能。
sigcheck64.exe -accepteula -d C:\Windows\System32\svchost.exe
上述命令可以调用Sigcheck查询svchost使用户可以查看已加载的文件
五、检查更新并扫描指定目录
使用Sigcheck,可以轻松地扫描指定的目录,以查找需要更新的文件。Sigcheck使用-v参数,在输出框中显示文件的版本属性,其中包括描述、公司名称、版本和版权信息等。
sigcheck64.exe -accepteula -s -v C:\Windows\System32\
上面命令将扫描C:\Windows\System32\目录,并列出任何需要更新或具有重大版本更改的文件。
六、多种查看方式
Sigcheck提供了三种输出格式:单行、逗号分隔和表格式,我们可以随时根据需要选择不同的格式。
sigcheck64.exe -accepteula -e -q C:\Windows\System32\mspaint.exe
上面的命令将使用Sigcheck快速检查“mspaint.exe”的数字签名,并仅输出文件名称、文件路径、版本数据、版本信息、电子商务代码和产品代码。由于-q标志,输出将是逗号分隔的。使用单行检索,则显示 msdos.exe(在C:\Windows\System32\中具有相同的哈希值转为MD5)
七、小结
Sigcheck是一款出色的工具,可以帮助开发人员、管理员和普通用户查找并验证文件以及内存中的文件。Sigcheck提供了多个选项来进行不同的查询,以方便人们的使用。
这篇文章涵盖了如何执行不同类型的检查并了解如何使用各种命令行选项来执行检查。无论是基本的数字证书检查、文件哈希检查,还是复杂的证书链检查,Sigcheck都是一个非常有用的工具。
