Windows'ta çalıştırdığınız her şeyin bütünlüğünü ve yazarlığını kontrol etmek, ustalaşıldığında sizi saatlerce belirsizlikten kurtarabilecek görevlerden biridir. Sysinternals yardımcı programı Sigcheck, VirusTotal'da dijital imzaları, sertifika zincirlerini ve dosya itibarını konsoldan ve cerrahi bir hassasiyetle doğrulayabilirsiniz.
Saflığın ötesinde, gerçek önlemeden bahsediyoruz: kritik yollarda imzasız ikili dosyaları bulmak gibi C:\\Windows\\System32, zıtlık karmaları düzinelerce antivirüs motoruyla tarayın ve CSV formatında bir kayıt bırakın. denetim, güçlendirme ve olay müdahalesi için önemli bir parça Herhangi bir yönetim setinde bulunması iyi bir fikirdir.
Sigcheck nedir ve neden bu kadar faydalıdır?
Sigcheck, çalışması Sysinternals paketinin içindeki Mark Russinovich, tam sertifika zinciri dahil olmak üzere dosya sürümünü, zaman damgalarını ve dijital imza ayrıntılarını görüntüler. Ayrıca, sertifikanın itibarını da kontrol edebilirsiniz. VirusTotal'daki karma ve eğer belirtirseniz, analiz edilmemiş örnekleri otomatik test için yükleyin.
Tipik kullanımı iki yönlüdür: bir yandan envanter ve imzasız yürütülebilir dosyaların tespiti veya güvenilmez imzalarla; öte yandan, güvenlik triyajı VirusTotal'da tespitleri kontrol etme, web raporlarını otomatik olarak açma ve gerçekten önemli olanları filtreleme seçeneğiyle.
Meşru yerlerde örneğin; \\Sistem32 İmzalanmamış her dosya en azından araştırılmayı hak eder. Bir şeyin imzalanmamış olması onu kötü niyetli yapmaz, ancak şüphe seviyesini artırır ve kökeni ve karma değerini doğrulayın İnfazına izin verilmeden önce.
Sigcheck, yükleyicisi olmayan taşınabilir bir yazılımdır: ZIP dosyasını indirin, çıkarın ve ikili dosyayı çalıştırın. Üstelik, şunları da sunar: CSV çıktıları çevrimdışı çalışmayı, sonuçları paylaşmayı ve akışları otomatikleştirmeyi kolaylaştırır.
İndirme, uyumluluk ve ilk kontroller
Yardımcı program modern sistemlerde düzgün çalışır. Referans belgelerinde iki uyumluluk satırı göreceksiniz: biri İstemci: Windows 8.1+; Sunucu: Windows Server 2012+; NanoServer: 2016+ve bir başkası da şunu söylüyor İstemci: Windows Vista+; Sunucu: Windows Server 2008+. Uygulamada, Windows'un son sürümlerinde herhangi bir sorun yaşamazsınız..
İncelemeden bahsediliyor v2.82 Russinovich'in Temmuz 2022 tarihli, kullanımını anlatan bir yayını zaten mevcut. Önemli olan şu: resmi ZIP dosyasını indirin, yardımın kısa yardım parametresine yanıt verdiğini ayıklar ve doğrular.
PowerShell'den şu şekilde indirip çıkarabilirsiniz (bağlantı gerektirir): bu komutları olduğu gibi kullanın Mevcut klasörünüzde katılımsız kurulum için.
Invoke-WebRequest -Uri https://download.sysinternals.com/files/Sigcheck.zip -OutFile Sigcheck.zip
Expand-Archive -Path .\Sigcheck.zip -DestinationPath .\
Daha sonra ikili dosyanın komut satırı yardımıyla yanıt verip vermediğini kontrol edin, çünkü rotaları ve izinleri onaylayacak Analize başlamadan önce:
sigcheck.exe -?
Temel sözdizimi ve yürütme modları
Sigcheck, dosyaları, katalogları, çevrimdışı kullanım için CSV'leri veya sertifika depolarını analiz edip etmediğinize bağlı olarak çeşitli çağrılar sunar. genel formu ezberlemek kullanım durumları arasında hızlı hareket etmek için.
sigcheck [-a][-h][-i][-e][-l][-n][[-s]|[-c|-ct]|[-m]][-q][-r][-u][-vt][-v[r][s]][-f catalog_file] file_or_directory
sigcheck -d [-c|-ct] file_or_directory
sigcheck -o [-vt][-v[r]] sigcheck_csv_file
sigcheck -t[u][v] [-i] [-c|-ct] <certificate_store_name | *>
Bazı listelerde şu şekilde görünüyor -q sözdiziminde, açıklamaları her zaman belgelenmemiş olsa da; diğer değiştiriciler iyi bir şekilde ele alınmıştır ve bunlara hakim olunmalıdır Çıktıyı biçimlendirin, taramaları genişletin ve VirusTotal ile konuşun.
Ana parametreler tek tek açıklandı
Başlamadan önce, bu değiştirici zihin haritasını elinizin altında bulundurun. Aracı hassas bir şekilde ayarlamanıza yardımcı olacaktır. her bir olayın gerektirdiği ayrıntıya kadar taramaları tekrarlamadan.
| Parametre | Nedir |
|---|---|
| -a | Genişletilmiş sürüm bilgilerini görüntüler ve bit/bayt cinsinden entropi rastgelelik/karmaşıklığı tahmin etmek için. |
| -kabul | Sigcheck EULA'sını sessizce kabul edin; etkileşimli komutlar olmadan. |
| -c | CSV formatında çıktı koma sınırlayıcı olarak. |
| -CT | CSV formatında çıktı tabulator sınırlayıcı olarak. |
| -d | Bir içeriği boşaltır katalog dosyası (.cat). |
| -e | Kısıtlar çalıştırılabilir görüntüler her ne kadar uzantısı öyle görünmese de. |
| -f | İmzayı arayın belirtilen katalog. |
| -h | Muestra dosya karmaları (MD5/SHA, vb.) |
| -i | Kapsar katalog adı ve imza zinciri. |
| -l | yürümek sembolik bağlar ve dizin kavşakları. |
| -m | Ters çevir belirgin gömülü. |
| -n | Sadece şunu göster: sürüm numarası. |
| -banner yok | Sessiz mod, başlangıç afişi yok. |
| -o | VirusTotal'ı kullanarak sorgula oluşturulan bir CSV'nin karmaları önceden -h ile; çevrimdışı ortamlar için ideal. |
| -p | İmzaları bir belgeye göre doğrulayın politika (GUID) beton. |
| -r | Denetimini devre dışı bırakır sertifika iptali. |
| -s | yürümek alt dizinler özyinelemeli olarak. |
| -t[u][v] | Ters çevir sertifika deposu * ile belirtilen veya tümü; kullanıcı depolaması için -tu ve kullanmak için -tv ekleyin Microsoft'un güven kökleri Geçersiz dosyaları filtreleme. İnternet erişiminiz yoksa, mevcut dizindeki authrootstl.cab veya authroot.stl dosyalarını kullanın. |
| -u | VT olmadan: hazır sadece imzasızVT ile: dosyaları görüntüler bilinmeyen veya tespit > 0. |
| -v[rs] | VirusTotal'ı karma değere göre sorgula. r tespitler varsa web raporlarını açar; s Taranmamış dosyaları yükleyin (sonuçların gelmesi birkaç dakika sürebilir). |
| -vt | işaretlemek VirusTotal Şartları'nın kabulü; aksi takdirde ilk seferde bir uyarı mesajı görünecektir. |
Hızlı bir denetimde tipik kombinasyon, karıştırmaktır -u -e -s -vt ve eğer web raporları istiyorsanız, ekleyin -VRBu şekilde, hemen gözden geçirilmesi gereken konulara dikkatinizi odaklayabilirsiniz.
Hızlı System32 Kontrolü ve Çevrimdışı Analiz
Çok pratik bir ilk adım, imzasız yürütülebilir dosyaları aramaktır C:\\Windows\\System32Bu komut size çok az çabayla uygulanabilir bir liste sunar:
sigcheck -e C:\\Windows\\System32
İnternet erişimi olmayan büyük hacimler veya ortamlar için, hash'lerin yakalanması ve VT'ye sorgulanmasının ayrılması önerilir. İlk önce CSV'ye döküyorsunuz ve sonra sen bunu yaparsın arama başka bir bilgisayardan veya daha sonra:
sigcheck -h -ct -s C:\\Windows\\System32 > resultados.tsv
Daha sonra VirusTotal'ı kontrol edebildiğinizde, şunu çalıştırın: çevrimdışı mod CSV'de TOS'u kabul ederek ve tespit ile raporları açarak:
sigcheck -o -vt -vr resultados.tsv
Konsoldan VirusTotal: terimler, yüklemeler ve filtreler
Sigcheck, VirusTotal API'sini kullanarak karşılaştırma yapar birden fazla AV'ye karşı dosya karması. Şartları kabul etmeniz gerekiyor -vt (ilk seferde eklemezseniz sizden isteyebilir). İdealdir. yanlış pozitifleri elemek ek bağlamla.
değiştirici -v sorguyu etkinleştir; ekle r tespit edilenler için raporlar açar ve s Bilinmeyen örnekleri yükleyin. Sabırlı olun: Yeni bir dosya yüklediğinizde sonuçlar beş dakika veya daha fazla sürebilir.
Büyük gruplar için, genellikle önce bir CSV oluşturmak en uygunudur -hy -c / -ct ve ardından modu başlatın -o Bu dosya hakkında. Bu bir yoldur triyajı endüstriyelleştirmek ağınızı veya konsolu doyurmadan.
Sertifikalar, depolar ve güven zincirleri
Sigcheck, dosyalara ek olarak şunları da yapabilir: sertifika mağazalarını keşfedin. Ile -t bir depo (veya tümü için *) belirtirsiniz ve -sen Kullanıcı mağazasına geçersiniz. Ekle -televizyon listesini indirmenizi sağlayacak Microsoft'un güvenilir kökleri ve bu listede yalnızca geçerli, kök olmayan sertifikaları gösterecek şekilde filtreleyin.
Eğer bilgisayarda internet yoksa, Sigcheck kullanmayı deneyecektir. authrootstl.cab veya authroot.stl Mevcutsa, geçerli dizinden. Bu ayrıntı, laboratuvarlar, izole ağlar ve adli analiz.
Adli senaryolar: sahnelenmiş görüntüler ve kataloglar
Mağdur bilgisayarların görüntüleriyle çalışırken, aşağıdakilerin içe aktarılması önerilir: orijinal sistem imza kataloğu Analiz sunucusuna iletilmesi durumunda, birçok imza doğru bir şekilde doğrulanamayabilir. Bu zorunlu değildir, ancak doğrulamayı büyük ölçüde iyileştirir.
Pratik bir prosedür şu şekilde olabilir: Örneğin, görüntüden şifreleme hizmeti klasörlerini kopyalayın \C\Windows\System32\CatRoot\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}, çakışmaları önlemek için GUID'yi yeniden adlandırın, eşdeğer yola koyun (örn. \C\Windows\System32\CatRoot\{127D0A1D-4EF2-11D1-8608-00C04FC295E9}), Kriptografik Hizmetler hizmetini yeniden başlatın itibaren services.msc ve bağlanmış imaja karşı Sigcheck'i çalıştırın.
Belirli kataloglar için kullanın -d (içerik dökümü) ve -f (Belirtilen bir katalogda imza araması). Bu özellikle şu durumlarda faydalıdır: sürücüler ve sistem bileşenleri katalog kurallarının geçerli olduğu yer.
Bağlam: Sysinternals, Russinovich ve ekosistem
Sysinternals bir kamu hizmetlerinin ücretsiz toplanması Microsoft'un 2006 yılında satın aldığı. Mark Russinovich, görüşmelerde bunların nasıl kullanılacağını gösterdi kötü amaçlı yazılımları tespit edin, analiz edin ve temizleyinve Sigcheck bu cephaneliğin içinde hafif ve hassas bir parça olarak yer alıyor.
Tarih arşivinden şu duyuru dikkat çekiyor: Sigcheck v1.0 2005 tarihli bir bültende Autoruns, Process Explorer, TCPView/Tcpvcon ve PsTools gibi diğer araçlarla birlikte yayınlandı. Bu bültende ayrıca şunlar da yer aldı: kullanım istatistikleri Sysinternals'dan, Microsoft KB'deki referanslar ve Russinovich'in MVP olarak tanınması, teknik içerikle birlikte (DEP, LiveKd ile hata ayıklama vb.). Her şeyi ezberlemenize gerek yok, ancak projenin sağlamlığı hakkında bağlam sağlar ve sürekli evrimi.
Bütünlüğü doğrulamanın diğer yolları: SHA, Certutil, PowerShell ve 7-Zip
Bir dosyanın değiştirilmediğinin doğrulanması, Sigcheck olmadan da yapılabilir; bunun için dosyanın kriptografik karma Tedarikçi tarafından yayınlananla aynıdır. Bu, doğrulamanın klasik yoludur. özgünlük ve bütünlük yükleyicileri, ISO'ları veya donanım yazılımlarını çalıştırmadan önce.
Windows'ta birkaç seçeneğiniz var. PowerShellSHA-256 için en doğrudan olanı şudur:
Get-FileHash "ruta\\al\\archivo.ext" -Algorithm SHA256
Elde edilen hash değeri, üreticinin web sitesindeki resmi değerle karşılaştırılmalıdır. tam olarak eşleşmek, aynı dosyaya bakıyorsunuz; değilse, tekrar indirin veya kökenine güvenmiyor.
Windows ayrıca şunları içerir: certutilWindows 7+ sürümlerinden beri oldukça kullanışlı ve yaygın bir araçtır. Çeşitli algoritmalarla karma değerleri oluşturmak için kullanılır:
certutil -hashfile "ruta\\al\\archivo.ext" SHA256 > archivo.sha256.txt
Başka bir basit yol ise şunu kullanmaktır: 7-Zip: Sağ tıklayın > CRC SHA > SHA-256 veya SHA-1'i seçin. Hızlı ve kullanışlıdır, ancak her zaman tercih edilir. SHA-256 ve SHA-1 mümkün olduğunda.
HashCheck: Explorer Entegrasyonu ve Toplu Kontrol
Görsel entegrasyonu tercih ediyorsanız, HashKontrol Ücretsiz ve açık kaynaklıdır. Dosya özelliklerine bir "Kontrol Toplamı" sekmesi ekler ve kontrol listelerini farklı formatlarda kaydetmenize ve kontrol etmenize olanak tanır. .sfv, .md4, .md5 veya .sha1.
Çalışması oldukça çeviktir: Bir dosyanın kontrol toplamını oluşturabilir ve daha sonra, yeniden doğrula değişip değişmediğini görmek için. Ayrıca klasörlerle çalışmayı, doğrulama dosyası oluşturmayı da destekler tüm elemanlar İçerikleri kırmızı ile işaretleyerek uyuşmayanları belirtiyoruz.
Eğer HashCheck yüklü değilse ama doğrulama dosyanız hala varsa, onu şu komutla açın: Not pedi karmaları görüntülemek ve bunları manuel olarak karşılaştırmak için. Çok kullanışlı olmasa da seni beladan kurtarır Bir dakika içinde.
Sigcheck'in ötesinde karma kullanım durumları
Karma işlevleri indirmelerden çok daha fazlası için iyidir: yardımcı olurlar veri bütünlüğünü doğrulayın transferlerde, kopyaları tespit eder ve mekanizmanın bir parçasıdır dijital imzalar belgelerin ve yazılımların.
Çevrimiçi hizmetlerde, depolama yapmak olağandır şifre karmaları ve şifrelerin kendisi değil. Bu nedenle, doğrulama sırasında karma karşılaştırılır; bu şekilde, sırları açık tutmak ve olayların etkisi azaltılır.
Ayrıca şunları da destekleyebilirler: telif hakkı koruması, kötü amaçlı yazılımlara karşı imza kataloglarını yönetin veya antivirüslerin kötü amaçlı yazılımları tanımlamasına yardımcı olun bilinen aileler Kötü amaçlı kodun parmak izinden tespit edilmesi.
Üretici yazılımını (yönlendirici, AP, BIOS vb.) indirirken, aşağıdakilere dikkat etmeniz önerilir: karmayı doğrula Güncellemeden önce. Bozuk bir dosya, cihazı kullanılamaz hale getirebilir ve üreticiler genellikle SHA-256 veya benzeri portallarında.
Depolama ve yedeklemede, karma değerlerini karşılaştırmak, yinelenen dosyalar y optimize uzay. Ve uygulamalı kriptografide, karmalar omurgadır blok zinciri ve kripto para birimleri (Merkle ağaçları, adresler, madencilik, sözleşmeler, vb.)
Ortak algoritmalar ve güvenlik hususları
En çok kullanılan algoritmalar arasında şunlar yer almaktadır: SHA-2 (özellikle SHA-256) ve SHA-3; SHA-1 ve MD5 de varlığını sürdürüyor, ancak sonuncular çarpışmaya karşı güvenli kabul edilmiyor. Modern kısımda en dikkat çekici olanı BLAKE2/BLAKE3 verimlilik ve hız için.
Kör güvene dikkat edin: Bir karma eğer sayfayı da tahrif ederlerse tahrif edilmiş sayılırlar danıştığınız yerde. Bu nedenle, mümkün olduğunda, çoklu kanallar (HTTPS, PGP imzası/katalog, VT itibarı vb. içeren resmi site).
Düşmanca senaryolarda da saldırılar görüldü kullanıcı karışıklığı Sahte karmaları paylaşmak veya toplu doğrulama ihlallerini denemek aşırı yük sunucularıRiskleri en aza indirmek için iyi kimlik doğrulama ve izin uygulamalarını sürdürün.
Sigcheck ile daha iyi çalışmak için küçük ipuçları
Binlerce dosyayı inceleyecekseniz, çıktıyı CSV/TSV'ye yönlendirir ve sonucu ekibinizle paylaşın, böylece herkes aynı kriterleri uygulasın. İzlenebilirlik kazanacaksınız ve analizde tutarlılık.
birleştirmek -a (entropi), -h (karma değerler) y -v (VT) size katmanlı bir görünüm sunar: paketleyiciler, parmak izleri ve itibar. Bu füzyon, yanlış pozitifleri azaltır ve kararları hızlandırır.
VirusTotal fonksiyonlarını ilk kez kullanacaksanız, şunları unutmayın: -vtİnternet olmadığında ise önceden hazırlık yapın. authrootstl.cab/authroot.stl -tv ile dizeleri doğrulamak için geçerli dizinde.
Yöneticiler arasında çok yaygın bir System32 sınıflandırması için doğrudan ve etkili bir komut şudur:
sigcheck.exe -u -e -vt C:\\Windows\\System32
Şüphelerinizi gidermek için faydalı örnekler
Bilgisayarın sertifika deposunu boşaltmak ve Microsoft köklerine göre filtrelemek yalnızca geçerli, sabitlenmemiş öğeleri görüntüle o listede:
sigcheck -tv -i -ct *
Bir katalogda imzaları arayın ve içeriklerini CSV'ye aktarın tabulator:
sigcheck -d -ct "C:\\Windows\\System32\\CatRoot\\*.cat"
Sembolik ve alt dizinleri dolaşın, yürütülebilir dosyalarla sınırlandırma ve virgüllerle karmalarla CSV üretiyoruz:
sigcheck -l -s -e -h -c "D:\\Apps" > inventario_apps.csv
Daha önce yakalanmış karma değerlerin CSV'sine bakın (çevrimdışı mod) ve sahip olduğunuz raporları açın pozitif tespit:
sigcheck -o -vt -vr -c inventario_apps.csv
Uyumluluk notları ve akılda tutulması gereken sürümler
Yukarıda belirtildiği gibi, iki uyumluluk bloğuna referanslar göreceksiniz: biri şuradan başlıyor: Windows 8.1/Sunucu 2012 ve bir diğeri de Windows Vista/Sunucu 2008Her durumda, mevcut ekipmanda normal çalışıyor.
Kartlarda ve çevirilerde referans Sigcheck v2.82 2021-2022'den itibaren değişiklikler mevcut. Kuruluşunuzun politikaları nedeniyle belirli bir sürüme ihtiyacınız varsa, resmi posta kodunu kullanın ve imzasını doğrular.
Günlük Güvenlik Hatırlatıcısı
VirusTotal TOS'u kabul edin -vt İstemlerden kaçınmak için herhangi bir dosyayı araştırın imzasız çalıştırmadan önce, özellikle de yaşıyorsanız sistem rotalarıVe eğer izole ağlarda çalışıyorsanız dosyalarınızı yanınızda götürün. yetki kökü kökleri doğrulamak için.
Sigcheck'i akışlarınıza entegre etmek, şunları yapmanıza olanak tanır: bütünlüğü doğrulamakİmza envanterlerini otomatikleştirin, doğrulama CSV'leri oluşturun, itibarları kontrol edin ve sertifika depolarını keşfedin. Hafif, taşınabilir ve doğru kullanıldığında görünürlüğünüzü artırın Windows'ta yoğun dağıtımlara gerek kalmadan.
Master Sigcheck'i yönetin ve tamamlayın PowerShellCertutil, 7-Zip ve HashCheck dosyaları doğrulamak, kökenlerini anlamak, imzaları onaylamak ve bilinçli kararlar almak için size güçlü bir araç kutusu sunar. savunabileceğiniz veriler Herhangi bir denetimden önce.