一、sigcheck 簡介
Sigcheck是一款非常強大的工具,它可以用於驗證文件的數字簽名。Sigcheck是Windows Sysinternals工具套件的一部分,它可以方便地檢查PE文件和代碼簽名證書,以及版本資源信息。Sigcheck可以幫助開發人員和系統管理員確保已下載的應用程序是無害的且完整的。
Sigcheck的功能十分強大,下面我們將從不同的角度為您介紹Sigcheck的精髓
二、文件檢查及驗證簽名
Sigcheck的首要功能是檢測PE文件及驗證該文件的數字簽名,下面以64位程序mp3tag為例,介紹Sigcheck的檢測方式。
sigcheck64.exe -accepteula -u -e -c "C:\Windows\System32\mp3tag.exe"
上述命令將使用Sigcheck檢查mp3tag的數字簽名、時間戳以及版本號,並在命令行窗口中輸出文件的MD5、SHA1和SHA256哈希值。
三、驗證證書鏈
對於任何一個PE文件,我們總是可以通過自簽名的方式給它設置數字證書,但是自簽名證書的信任度不高,因此,可以在自簽名的證書中設置一份合法數字證書的證書鏈。
使用Sigcheck可以非常容易的驗證證書鏈,Sigcheck會檢查證書鏈中每個證書及證書的頒發機構,根據此建立證書鏈並輸出證書信息。
sigcheck64.exe -accepteula -v C:\Windows\System32\mp3tag.exe
上述命令將打印出mp3tag的證書信息,驗證證書鏈中的每個證書都是由受信任的證書頒發機構頒發的。
四、檢查內存駐留的文件
Sigcheck還可以檢查內存駐留的進程中的文件或其他映射文件,我們可以使用-d參數啟用此功能。
sigcheck64.exe -accepteula -d C:\Windows\System32\svchost.exe
上述命令可以調用Sigcheck查詢svchost使用戶可以查看已加載的文件
五、檢查更新並掃描指定目錄
使用Sigcheck,可以輕鬆地掃描指定的目錄,以查找需要更新的文件。Sigcheck使用-v參數,在輸出框中顯示文件的版本屬性,其中包括描述、公司名稱、版本和版權信息等。
sigcheck64.exe -accepteula -s -v C:\Windows\System32\
上面命令將掃描C:\Windows\System32\目錄,並列出任何需要更新或具有重大版本更改的文件。
六、多種查看方式
Sigcheck提供了三種輸出格式:單行、逗號分隔和表格式,我們可以隨時根據需要選擇不同的格式。
sigcheck64.exe -accepteula -e -q C:\Windows\System32\mspaint.exe
上面的命令將使用Sigcheck快速檢查“mspaint.exe”的數字簽名,並僅輸出文件名稱、文件路徑、版本數據、版本信息、電子商務代碼和產品代碼。由於-q標誌,輸出將是逗號分隔的。使用單行檢索,則顯示 msdos.exe(在C:\Windows\System32\中具有相同的哈希值轉為MD5)
七、小結
Sigcheck是一款出色的工具,可以幫助開發人員、管理員和普通用戶查找並驗證文件以及內存中的文件。Sigcheck提供了多個選項來進行不同的查詢,以方便人們的使用。
這篇文章涵蓋了如何執行不同類型的檢查並了解如何使用各種命令行選項來執行檢查。無論是基本的數字證書檢查、文件哈希檢查,還是複雜的證書鏈檢查,Sigcheck都是一個非常有用的工具。
原創文章,作者:小藍,如若轉載,請註明出處:https://www.506064.com/zh-hant/n/201263.html
微信掃一掃 
支付寶掃一掃 