Ako radite sa Windowsom i zabrinuti ste za integritet onoga što se izvršava na vašem sistemu, Sigcheck To je jedan od onih osnovnih alata koje biste trebali savladati. Ovaj alat iz Sysinternals paketa vam omogućava da pregledate datoteke, provjerite digitalne potpise, pregledate lanac certifikata, pa čak i provjerite reputaciju datoteka u VirusTotal bez napuštanja konzole.
Njegova filozofija je jednostavna: jednom komandom možete saznati da li je binarna datoteka potpisana, od strane koga, kada i da li se njen hash pojavljuje kao zlonamjeran u više antivirusnih programa. Iznad tehničke radoznalostiOvo se prevodi u stvarnu sposobnost otkrivanja anomalija u kritičnim putevima poput System32, dokumentiranja nalaza i donošenja odluka na osnovu pouzdanih podataka.
Šta je Sigcheck i zašto je važan
Sigcheck je uslužni program komandne linije koji je kreirao Mark Russinovich unutar Sysinternals-a koji prikazuje verziju datoteke, vremenske oznake i detalje digitalnog potpisa, uključujući cijeli lanac certifikacije. Osim toga, integrira upite u VirusTotal da uporedi heševe sa desetinama antivirusnih programa i da otpremi neskenirane datoteke ako to želi.
Njegova tipična upotreba je skeniranje sistemskih direktorija i lociranje nepotpisanih izvršnih datoteka ili onih s nepouzdanim potpisima. Na legitimnim lokacijama kao što je \System32 Svaka nepotpisana datoteka zaslužuje barem neku istragu. Nepotpisana datoteka ne znači automatski da je zlonamjerna, ali izaziva sumnju i zahtijeva provjeru njenog izvora i heša.
Projekat uključuje službenu dokumentaciju i primjere, kao i dodatni referentni materijal na stranicama kao što je SS64 i razne tehničke vodiče. Zajednica je doprinijela prijevodima i proširenjima iz originalnih informacija, ističući njihovu upotrebu i za svakodnevnu administraciju i za odgovor na incidente.
Kompatibilnost, verzije i preuzimanje
Dostupna dokumentacija navodi različite raspone kompatibilnosti ovisno o izvoru. S jedne strane, ukazuje na to da radi na Klijent: Windows 8.1 i noviji; Server: Windows Server 2012 i noviji; Nano Server: 2016 i novijiU drugoj kartici se spominje šira kompatibilnost (Klijent: Windows Vista i novijiServer: Windows Server 2008 i noviji; Nano Server: 2016 i novije verzije). U svakom slučaju, Na modernim sistemima radi bez problema.
Što se tiče verzija i referenci, spominje se revizija označena kao v2.82 i ažurirane bilješke sredinom 2021. godine, zajedno s objavom Russinovicha od Jul 2022 objašnjavajući njegovu upotrebu. Ono što je relevantno za svakodnevni život jeste da Sigcheck je prenosivPreuzmete ZIP datoteku, raspakujete je i pokrenete binarnu datoteku, bez tradicionalnog instalacijskog programa.
Praktična metoda iz PowerShella je kreiranje mape (npr. Sysinternals), preuzimanje i raspakivanje:
Invoke-WebRequest -Uri https://download.sysinternals.com/files/Sigcheck.zip -OutFile Sigcheck.zip
Expand-Archive -Path .\Sigcheck.zip -DestinationPath .\
Nakon toga, provjerite da li odgovara uz pomoć: koristite parametar -? da biste vidjeli početnu sintaksu:
sigcheck.exe -?
Sintaksa i načini izvršavanja
Alat nudi nekoliko načina korištenja ovisno o cilju. Glavni pozivi slijedite ove opće strukture:
sigcheck [-a][-h][-i][-e][-l][-n][[-s]|[-c|-ct]|[-m]][-q][-r][-u][-vt][-v[r][s]][-f catalog_file] file_or_directory
sigcheck -d [-c|-ct] file_or_directory
sigcheck -o [-vt][-v[r]] sigcheck_csv_file
sigcheck -t[u][v] [-i] [-c|-ct] <certificate_store_name | *>
U nekoj dokumentaciji se pojavljuje modifikator -q u sintaksi, iako njen opis nije detaljan; ostali parametri su dokumentovani opširno su opisani i sažeti su u nastavku.
Ključni parametri Sigcheck-a
Modifikatori vam omogućavaju da prilagodite sve, od izlaznog formata do dubine analize, uključujući i upit. VirusTotal ili verifikaciju kataloga potpisa. Ova tabela sažima njegovu upotrebu:
| Parametar | opis |
|---|---|
| -a | Prikazuje proširene informacije o verziji; uključuje entropija (bitova po bajtu) za procjenu slučajnosti sadržaja. |
| -prihvaćeno | Tiho prihvata Sigcheck EULA, bez interaktivnog upita. |
| -c | Izlaz u CSV formatu sa zarez za razdjelnik. |
| -ct | Izlaz u CSV formatu sa razdjelnik tabulatora. |
| -d | Ispisuje sadržaj datoteka kataloga (mačka). |
| -e | Samo analiziraj izvršne slike (bez obzira na njegovu dužinu). |
| -f | Potražite potpis na katalog specificirano. |
| -h | Uzorak heševe iz datoteke. |
| -i | Pokaži naziv kataloga i lanac potpisa. |
| -l | Križevi simbolične veze i prijelazi direktorija. |
| -m | Okrenite manifest iz datoteke. |
| -n | Odštampajte samo broj verzije iz datoteke. |
| -bez banera | Sakrij početni baner i autorska prava; tihi režim. |
| -o | Upit za VirusTotal za heševe snimljene u Prethodno generirani CSV (koristeći -h). Korisno za analizu van mreže. |
| -p | Provjeri potpise u odnosu na política specifičan, naznačen svojim GUID-om. |
| -r | Onemogućuje provjera opoziva certifikata. |
| -s | hoda poddirektorijumi rekurzivno. |
| -t[u][v] | Ispisuje sadržaj skladište certifikata (koristite * za sve). Dodajte -tu za upit korisničkoj pohrani. S -tv će preuzeti listu Microsoftovi korijeni povjerenja i na toj listi će navesti samo važeće, nekorijenske certifikate. Ako nema pristupa, koristit će authrootstl.cab ili authroot.stl iz trenutnog direktorija, ako postoje. |
| -u | Kada je omogućeno skeniranje VirusTotal-om, prikazuje datoteke nepoznato ili sa detekcijom > 0; u suprotnom, prikaži samo nepotpisane. |
| -v[rs] | Upit za VirusTotal prema hashu datoteke. Sa r otvara izvještaje o onima koji su otkriveni; sa s Otpremite neskenirane datoteke na VirusTotal (rezultati mogu potrajati nekoliko minuta). |
| -vt | Označi prihvatanje Uslova korištenja od VirusTotala (preduslov za VT funkcije; u suprotnom, tražit će se potvrda). |
Imajte na umu da možete kombinirati parametre prema svojim potrebama. Uobičajeno u revizijama je spajanje -u, -e, -s i -vt, i ako je primjenjivo -v za VirusTotal izvještaje.
VirusTotal: filtriranje upita, pojmova i rezultata
Sigcheck može konsultovati www.virustotal.com da uporedi hash svake datoteke sa više antivirusnih programa. Da biste koristili ove funkcije, prvo morate prihvatiti Uslove korištenja (TOS). -vtAko ih niste prihvatili, alat može prvi put prikazati interaktivni upit.
Modifikator -v aktivira heš upit. Ako dodate r otvorit će web izvještaje datoteka s pozitivnom detekcijom i sa s će automatski prenijeti neanalizirane. Imajte na umu da Rezultati se mogu dobiti tek za pet minuta ili više kada se otpremi novi uzorak.
Prilikom analize s mnogo datoteka, korisno je prvo generirati CSV sa hešovima koristeći -h (opciono sa -c ili -ct ovisno o delimiteru) i kasnije pokrenite:
sigcheck -o -vt -vr path\a\resultados.csv
Dakle, Sigcheck će izvršiti pretrage u CSV-u, dizajniran za offline streamove ili na uređajima bez direktnog pristupa internetu.
Certifikati, trgovine i korijeni povjerenja
Pored pregleda datoteka, Sigcheck vam omogućava i dump i istražite trgovine certifikata lokalno stanovništvo. Sa -t naznačite skladište po imenu (ili * za sve); sa -ti upituje korisničku memoriju i, prema zadanim postavkama, memoriju mašine. Ako dodate - tv, preuzet će listu korijenskih direktorija od Microsofta i filtrirati za prikaži samo važeće, otkvačene certifikate na toj listi.
Ako računar ne može pristupiti Microsoftovoj web stranici, Sigcheck će koristiti authrootstl.cab ili authroot.stl trenutnog direktorija, ako postoji. Ovaj detalj je ključan u izolovanim okruženjima, laboratorije i forenzika.
Offline analiza, katalozi i forenzički scenariji
Prilikom rada sa slikama preuzetim sa računara žrtava, dobra je ideja uvesti katalog digitalnih potpisa od originalnog sistema do opreme za analizu. U suprotnom, mnogi potpisi se ne mogu verificirati. Tipičan postupak bi bio:
- Kopirajte mape kriptografskih servisa sa slike žrtve, na primjer:
\C\Windows\System32\CatRoot\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}i njen pridruženi partner. - Preimenujte GUID-ove kako biste izbjegli konflikte i postavite ih na istu ekvivalentnu putanju na računaru za analizu, na primjer:
\C\Windows\System32\CatRoot\{127D0A1D-4EF2-11D1-8608-00C04FC295E9}. - Ponovo pokrenite uslugu Kriptografske usluge od
services.msc. - Pokreni Sigcheck na montirana slika ili ekstrahovane direktorijume.
Za određene kataloge možete koristiti -d (ispis sadržaja) i -f (potražite potpis u određenom katalogu). Ove opcije Korisni su za provjeru integriteta upravljačkih programa i sistemskih komponenti.
Kontekst: Sysinternals i VirusTotal
Sysinternals je paket programa besplatni alati za upravljanje i dijagnostiku Windowsa, koje je Microsoft preuzeo 2006. godine. Mark Russinovich je u prezentacijama pokazao kako ih koristiti za otkrivanje, analiziranje i čišćenje zlonamjernog softvera, s praktičnim tehnikama koje dopunjuju upotrebu Sigchecka.
Sa druge strane, VirusTotal Nastao je kao španski projekat, a Google ga je preuzeo 2012. godine. Nudi analizu datoteka i URL-ova u odnosu na desetine pretraživača i historijsko spremište... detekcije i metapodaciSa Sigcheck-om, možete se osloniti na VT bez napuštanja konzole, ubrzavajući trijažu artefakata.
Dodatne napomene i reference za upotrebu
Referentna dokumentacija predlaže korištenje ovakve naredbe za System32, koju administratori široko koriste:
sigcheck.exe -u -e -vt C:\Windows\System32
Ako ćete pregledati hiljade datoteka, razmislite preusmjeriti izlaz u TXT ili CSV datoteku za kasniju reviziju i dijeljenje rezultata sa vašim timom.
Druga korisna tehnika je kombinovanje provjere entropije (-a) za otkrivanje pakera ili mogućih obfuskacija zajedno sa hashovi (-h) i konsultujte se sa Ukupno virusa (-v)Ovaj slojeviti pristup povećava vjerovatnoću otkriti anomalije stvarni naspram lažno pozitivnih rezultata.
Mali podsjetnik za sigurnost
Morate prihvatiti uslove korištenja VirusTotala da biste omogućili njegove funkcije od Sigchecka (-vt). Ako računar ne pristupi stranici, koristite authroot datoteke lokalno stanovništvo za provjeru korijena povjerenja. I kao zlatni standard, istražite sve nepotpisane datoteke prije pokretanja, posebno ako se nalazi u sistemskim direktorijima.
Sigcheck postaje saveznik za provjeru integriteta, automatizaciju inventara potpisa, generiranje CSV-ova za verifikaciju, poređenje s VirusTotalom i pregledavanje skladišta certifikata. To je lagan, prenosiv i veoma moćan alat koji, kada se pravilno integrišu u vaše tokove rada, štede vam vrijeme i pomažu vam da donosite informirane odluke u upravljanju incidentima i odgovoru na njih.