Сведения о подозрительных файлах

Проверка файлов с помощью sigcheck

Один из способов, с помощью которых вирусы и rootkit-средства якобы «прячутся» на компьютере, - это замена (overwriting) системных файлов Windows их вредительскими копиями. Это делает поиск неисправностей пло­хо ведущей себя системы и диагностирование вируса или rootkit-средства до­вольно трудным, так как утилиты типа Task Manager и Services Control Panel MMC показывают хорошо известные имена файлов, такие как lsass.exe или svchost.exe. Чтобы справиться с этой проблемой, свободно распространяемая утилита Sigcheck от Sysinternals помогает записать метаданные, например, но­мер версии и публикатора файла. Эти данные могут сразу указать на то, что файл был изменен: публикатором файла записан вместо "Microsoft Corporation". Более важно то, что Sigcheck про­верит, имеет ли конкретный файл цифровую подпись. Многократно запуск Sigcheck и сравнивая выходные данные с течением времени, можно определить, что файл, который, как предполагается, имеет подпись, оказывается неподпи­санным, или субъект подписи (signing entity), компания, подписавшая файл, неожиданно изменяется. По умолчанию, Sigcheck работает с локальным компьютером, но для работы с удаленным компьютером можно использовать PsExec.

Использование sigcheck 

  • a - Показать расширенную информацию о версии
  • c -  Посмотрите на подпись в указанном файле каталога
  • e -  Сканирование изображений только исполняемые (независимо от их расширения)
  • h -  Показать файла хэшей
  • i -  Показать имя каталога и изображений подписавшихся 
  • m - Дамп манифест
  • n -  Только номер версии файла
  • q-  Тихая (без баннеров)
  • r -  Отключение проверки отзыва сертификатов
  • s -  Recurse подкаталогах
  • u -  Показать неподписанные файлы только
  • v - Csv выходные данные

Одним из способов использования инструмента для проверки неподписанные файлы в папке \ Windows \ System32 директории с помощью команды: sigcheck -у -е C:\Windows\System32

2016  Командная строка Windows  
top Яндекс.Метрика