Проверка файлов с помощью sigcheck
Один из способов, с помощью которых вирусы и rootkit-средства якобы «прячутся» на компьютере, - это замена (overwriting) системных файлов Windows их вредительскими копиями. Это делает поиск неисправностей плохо ведущей себя системы и диагностирование вируса или rootkit-средства довольно трудным, так как утилиты типа Task Manager и Services Control Panel MMC показывают хорошо известные имена файлов, такие как lsass.exe или svchost.exe. Чтобы справиться с этой проблемой, свободно распространяемая утилита Sigcheck от Sysinternals помогает записать метаданные, например, номер версии и публикатора файла. Эти данные могут сразу указать на то, что файл был изменен: публикатором файла записан вместо "Microsoft Corporation". Более важно то, что Sigcheck проверит, имеет ли конкретный файл цифровую подпись. Многократно запуск Sigcheck и сравнивая выходные данные с течением времени, можно определить, что файл, который, как предполагается, имеет подпись, оказывается неподписанным, или субъект подписи (signing entity), компания, подписавшая файл, неожиданно изменяется. По умолчанию, Sigcheck работает с локальным компьютером, но для работы с удаленным компьютером можно использовать PsExec.
Использование sigcheck
- a - Показать расширенную информацию о версии
- c - Посмотрите на подпись в указанном файле каталога
- e - Сканирование изображений только исполняемые (независимо от их расширения)
- h - Показать файла хэшей
- i - Показать имя каталога и изображений подписавшихся
- m - Дамп манифест
- n - Только номер версии файла
- q- Тихая (без баннеров)
- r - Отключение проверки отзыва сертификатов
- s - Recurse подкаталогах
- u - Показать неподписанные файлы только
- v - Csv выходные данные
Одним из способов использования инструмента для проверки неподписанные файлы в папке \ Windows \ System32 директории с помощью команды: sigcheck -у -е C:\Windows\System32
