Provjera integriteta i autorstva onoga što pokrećete u Windowsu jedan je od onih zadataka koji, kada se savladaju, mogu vam uštedjeti sate neizvjesnosti. Sigcheck, uslužni program kompanije Sysinternals, možete provjeriti digitalne potpise, lance certifikata i reputaciju datoteka u VirusTotalu, sve iz konzole i s hirurškom preciznošću.
Osim purizma, govorimo o pravoj prevenciji: lociranju nepotpisanih binarnih datoteka u kritičnim putanjama kao što su C:\\Windows\\System32, kontrast heševe s desetinama antivirusnih programa i ostavljaju zapis u CSV formatu. To je ključni dio za reviziju, jačanje sigurnosti i odgovor na incidente što je dobra ideja imati pri ruci u svakom administrativnom kompletu.
Šta je Sigcheck i zašto je toliko koristan?
Sigcheck, rad Mark Russinovich unutar Sysinternals paketa, prikazuje verziju datoteke, vremenske oznake i detalje digitalnog potpisa, uključujući cijeli lanac certifikata. Također možete provjeriti reputaciju heš u VirusTotalu i, ako naznačite, prenesite neanalizirane uzorke za automatizirano testiranje.
Njegova tipična upotreba je dvostruka: s jedne strane, inventar i detekcija nepotpisanih izvršnih datoteka ili sa nepouzdanim potpisima; s druge strane, sigurnosna trijaža provjera detekcija u VirusTotalu, s mogućnošću automatskog otvaranja web izvještaja i filtriranja onoga što je zaista važno.
Na legitimnim lokacijama kao što su \\System32 Svaka nepotpisana datoteka zaslužuje, u najmanju ruku, istragu. Samo zato što nešto nije potpisano ne znači da je zlonamjerno, ali povećava nivo sumnje i zahtijeva provjerite porijeklo i heš prije nego što dozvoli njegovo izvršenje.
Sigcheck je prenosiv, bez instalacijskog programa: preuzmite ZIP datoteku, raspakujte je i pokrenite binarnu datoteku. Kao vrhunac svega, nudi CSV izlazi koji olakšavaju rad van mreže, dijeljenje rezultata i automatizaciju tokova.
Preuzimanje, kompatibilnost i početne provjere
Uslužni program ispravno radi na modernim sistemima. U referentnoj dokumentaciji vidjet ćete dvije linije kompatibilnosti: jedna označava Klijent: Windows 8.1+; Server: Windows Server 2012+; NanoServer: 2016+, i još jedan spominje Klijent: Windows Vista+; Server: Windows Server 2008+. U praksi, Nećete imati nikakvih problema na novijim verzijama Windowsa..
Postoje spomeni recenzije v2.82 Već postoji publikacija Russinovicha iz jula 2022. koja opisuje njegovu upotrebu. Važno je sljedeće: preuzmite službeni ZIP, izdvaja i provjerava da li pomoć odgovara parametrom kratke pomoći.
Iz PowerShella možete preuzeti i raspakirati ovako (potrebna je konekcija): koristite ove naredbe kakve jesu za nenadziranu instalaciju u vašu trenutnu mapu.
Invoke-WebRequest -Uri https://download.sysinternals.com/files/Sigcheck.zip -OutFile Sigcheck.zip
Expand-Archive -Path .\Sigcheck.zip -DestinationPath .\
Zatim provjerite da li binarni fajl odgovara uz pomoć komandne linije, jer potvrdit će rute i dozvole prije nego što krenete u analizu:
sigcheck.exe -?
Osnovna sintaksa i načini izvršavanja
Sigcheck nudi nekoliko poziva ovisno o tome analizirate li datoteke, kataloge, CSV-ove za offline upotrebu ili spremišta certifikata. To je praktično zapamtite opći oblik za brzo prebacivanje između slučajeva upotrebe.
sigcheck [-a][-h][-i][-e][-l][-n][[-s]|[-c|-ct]|[-m]][-q][-r][-u][-vt][-v[r][s]][-f catalog_file] file_or_directory
sigcheck -d [-c|-ct] file_or_directory
sigcheck -o [-vt][-v[r]] sigcheck_csv_file
sigcheck -t[u][v] [-i] [-c|-ct] <certificate_store_name | *>
Na nekim listama se pojavljuje -q u sintaksi iako njihov opis nije uvijek dokumentiran; ostali modifikatori su dobro pokriveni i trebalo bi ih savladati da bi se Formatirajte izlaz, proširite skeniranja i razgovarajte s VirusTotalom.
Ključni parametri objašnjeni jedan po jedan
Prije nego što se upustite u to, imajte pri ruci ovu mapu uma s modifikatorima. Pomoći će vam da fino podesite alat. do detalja koje svaki slučaj zahtijeva bez ponavljanja skeniranja.
| Parametar | Šta radi |
|---|---|
| -a | Prikazuje proširene informacije o verziji i entropija u bitovima/bajtu procijeniti slučajnost/zamagljivanje. |
| -prihvaćeno | Tiho prihvatite Sigcheck EULA; bez interaktivnih uputa. |
| -c | Izlaz u CSV formatu sa coma kao razdjelnik. |
| -ct | Izlaz u CSV formatu sa tabulator kao razdjelnik. |
| -d | Ispisuje sadržaj datoteka kataloga (.cat). |
| -e | Ograničava se na izvršne slike iako se njegovo proširenje možda ne čini takvim. |
| -f | Potražite potpis na navedeni katalog. |
| -h | Uzorak hashovi datoteka (MD5/SHA, itd.). |
| -i | Uključuje naziv kataloga i lanac potpisa. |
| -l | hoda simboličke veze i spojevi direktorija. |
| -m | Okrenite manifest ugrađen. |
| -n | Prikaži samo broj verzije. |
| -bez banera | Tihi način rada, nema početnog banera. |
| -o | Upit za VirusTotal koristeći heševi generiranog CSV-a prethodno sa -h; idealno za vanmrežna okruženja. |
| -p | Provjeri potpise u odnosu na politika (GUID) beton. |
| -r | Onemogućava provjeru opoziv certifikata. |
| -s | hoda poddirektorijumi rekurzivno. |
| -t[u][v] | Okrenite skladište certifikata označeno ili sve sa *; dodajte -tu za korisničku pohranu i -tv za korištenje Microsoftovi korijeni povjerenja Filtriranje nevažećih datoteka. Ako nema pristupa internetu, koristite authrootstl.cab ili authroot.stl iz trenutnog direktorija ako postoje. |
| -u | Bez VT: spremno samo nepotpisanoSa VT: prikazuje datoteke nepoznato ili sa detekcijom > 0. |
| -v[rs] | Upit za VirusTotal pomoću hash-a. Sa r otvara web izvještaje ako postoje detekcije; sa s Otpremite neskenirane datoteke (rezultati mogu potrajati nekoliko minuta). |
| -vt | Označi prihvatanje Uslova korištenja VirusTotala; u suprotnom, upit će se pojaviti prvi put. |
Tipična kombinacija u brzoj reviziji je miješanje -u -e -s -vt a ako želite web izvještaje, dodajte -vrNa ovaj način, usmjeravate svoju pažnju na ono što zahtijeva hitan pregled.
Brza provjera System32 i offline analiza
Vrlo praktičan prvi pokušaj je pretraga nepotpisanih izvršnih datoteka u C:\\Windows\\System32Ova komanda vam već daje listu na koju možete djelovati uz vrlo malo truda:
sigcheck -e C:\\Windows\\System32
Za velike količine podataka ili okruženja bez pristupa internetu, preporučljivo je odvojiti snimanje heševa i njihov upit VT-u. Prvo napravite ispis u CSV format a onda uradiš pogledaj gore s drugog računara ili kasnije:
sigcheck -h -ct -s C:\\Windows\\System32 > resultados.tsv
Zatim, kada možete provjeriti VirusTotal, pokrenite van mreže na CSV-u, prihvatanje Uslova korištenja i otvaranje izvještaja s detekcijom:
sigcheck -o -vt -vr resultados.tsv
VirusTotal iz konzole: termini, otpremanja i filteri
Sigcheck koristi VirusTotal API za poređenje heš datoteke za više antivirusnih programaMorate prihvatiti uslove sa -vt (prvi put vas može pitati da li ga ne uključujete). Idealno je za isključiti lažno pozitivne rezultate sa dodatnim kontekstom.
Modifikator -v aktivirajte upit; dodajte r otvara izvještaje za one koji imaju detekciju i s Otpremite nepoznate uzorke. Budite strpljivi: kada prenesete novu datoteku, rezultati može trajati pet minuta ili više.
Za velike serije, obično je najpraktičnije prvo generirati CSV datoteku sa -hy -c / -ct a zatim pokrenite način rada -o o toj datoteci. To je način da se industrijalizirati trijažu bez zasićenja mreže ili konzole.
Certifikati, skladišta i lanci povjerenja
Pored datoteka, Sigcheck može istražite trgovine certifikata. Sa -t označavate skladište (ili * za sve) i sa -ti prelazite na korisničku trgovinu. Dodaj - tv će vam omogućiti da preuzmete listu Microsoftovi pouzdani korijeni i filtrirajte da biste na toj listi prikazali samo važeće nekorijenske certifikate.
Ako računar nema internet, Sigcheck će pokušati koristiti authrootstl.cab ili authroot.stl iz trenutnog direktorija, ako postoji. Ovaj detalj je veoma koristan u laboratorije, izolovane mreže i forenzičke analize.
Forenzički scenariji: inscenirane slike i katalozi
Prilikom rada sa slikama računara žrtava, preporučljivo je uvesti originalni katalog sistemskih potpisa do hosta za analizu, inače mnogi potpisi neće moći biti ispravno provjereni. Nije neophodno, ali znatno poboljšava validaciju.
Praktičan postupak može biti: kopiranje mapa kriptografskih servisa sa slike, na primjer \C\Windows\System32\CatRoot\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}, preimenujte GUID da biste izbjegli konflikte, stavite ekvivalentnu putanju (npr. \C\Windows\System32\CatRoot\{127D0A1D-4EF2-11D1-8608-00C04FC295E9}), ponovo pokrenite uslugu Kriptografskih usluga od services.msc i pokrenite Sigcheck na montiranoj slici.
Za upotrebu u određenim katalogima -d (ispis sadržaja) i -f (pretraga potpisa u određenom katalogu). Ovo je posebno korisno za drajveri i sistemske komponente gdje katalog vlada.
Kontekst: Sysinternals, Russinovich i ekosistem
Sysinternals je besplatno prikupljanje komunalnih usluga koje je Microsoft kupio 2006. godine. Mark Russinovich je u razgovorima pokazao kako ih koristiti za otkrivanje, analiziranje i čišćenje zlonamjernog softvera, a Sigcheck se uklapa kao lagan i precizan komad u tom arsenalu.
Iz historijske arhive se izdvaja objava: Sigcheck v1.0 u biltenu iz 2005. godine, zajedno s drugim alatima kao što su Autoruns, Process Explorer, TCPView/Tcpvcon i PsTools. Taj bilten je također uključivao, statistika upotrebe iz Sysinternals-a, reference u Microsoft KB-u i prepoznavanje Russinovicha kao MVP-a, zajedno s tehničkim sadržajem (DEP, otklanjanje grešaka s LiveKd-om, itd.). Ne morate sve pamtiti, ali pruža kontekst o solidnosti projekta i njegovu stalnu evoluciju.
Drugi načini za provjeru integriteta: SHA, Certutil, PowerShell i 7-Zip
Potvrda da datoteka nije izmijenjena može se izvršiti i bez Sigchecka, poređenjem njenih kriptografski heš s onim koji je objavio dobavljač. Ovo je klasičan način validacije autentičnost i integritet prije pokretanja instalacijskih programa, ISO datoteka ili firmvera.
U Windowsu imate nekoliko opcija. Sa PowerShell, najdirektniji za SHA-256 je:
Get-FileHash "ruta\\al\\archivo.ext" -Algorithm SHA256
Dobijeni hash mora se uporediti sa službenom vrijednošću na web stranici proizvođača. Ako tačno se podudara, gledate istu datoteku; ako ne, preuzmite je ponovo ili ne vjeruje u njegovo porijeklo.
Windows također uključuje Certutil, veoma koristan i sveprisutan od Windowsa 7+. Koristi se za generisanje heševa pomoću nekoliko algoritama:
certutil -hashfile "ruta\\al\\archivo.ext" SHA256 > archivo.sha256.txt
Drugi jednostavan način je korištenje 7-ZipDesni klik > CRC SHA > odaberite SHA-256 ili SHA-1. Brzo je i praktično, ali uvijek poželjnije. SHA-256 u odnosu na SHA-1 kad je to moguće.
HashCheck: Integracija s Explorerom i masovna provjera
Ako preferirate vizualnu integraciju, hash check Besplatan je i otvorenog koda. Dodaje karticu "Kontrolna suma" svojstvima datoteke i omogućava vam spremanje i provjeru kontrolnih lista u formatima .sfv, .md4, .md5 ili .sha1.
Njegov rad je vrlo agilan: možete generirati kontrolnu sumu datoteke i, kasnije, ponovo ga potvrditi da vidite da li se promijenilo. Također podržava rad s mapama, kreiranje datoteke za verifikaciju svi elementi sadržaj, označavajući crvenom bojom one koji se ne podudaraju.
Ako nemate instaliran HashCheck, ali i dalje imate datoteku za verifikaciju, jednostavno je otvorite sa Notepad da pregledate heševe i ručno ih uporedite. Nije najpraktičnije, ali izvlači te iz nevolje za minut.
Slučajevi upotrebe heša izvan Sigchecka
Hash funkcije su dobre za mnogo više od preuzimanja: one pomažu provjeri integritet podataka u transferima, otkrivaju duplikate i dio su mehanizma digitalni potpisi dokumenata i softvera.
U online uslugama uobičajeno je pohranjivanje heševi lozinki a ne same lozinke. Stoga se prilikom validacije upoređuje heš; na taj način se izbjegava čuvaj tajne jasno i utjecaj incidenata je smanjen.
Oni također mogu podržati zaštita autorskih prava, upravljati katalozima potpisa antivirusnog softvera ili pomoći antivirusnim programima da identificiraju poznate porodice zlonamjernog koda iz njegovog otiska prsta.
Prilikom preuzimanja firmvera (ruter, AP, BIOS, itd.), preporučljivo je provjerite hash prije ažuriranja. Oštećena datoteka može učiniti uređaj neupotrebljivim, a proizvođači često pružaju SHA-256 ili slično u njegovim portalima.
U skladištenju i izradi sigurnosnih kopija, poređenje heševa vam omogućava da pronađete duplikat datoteka y optimizirati prostor. A u primijenjenoj kriptografiji, heševi su osnova blockchain i kriptovalute (Merkleova stabla, adrese, rudarstvo, ugovori, itd.).
Uobičajeni algoritmi i sigurnosna razmatranja
Među najčešće korištenim algoritmima su SHA-2 (posebno SHA-256) i SHA-3; SHA-1 i MD5 također opstaju, iako se potonji ne smatraju sigurnim od kolizije. U modernom dijelu, najznačajniji BLAKE2/BLAKE3 za efikasnost i brzinu.
Čuvajte se slijepog povjerenja: heš može biti falsifikovano ako falsifikuju i stranicu gdje ga konsultujete. Stoga, kad god je to moguće, potvrdite više kanala (službena stranica sa HTTPS-om, PGP potpisom/katalogom, VT reputacijom, itd.).
U neprijateljskim scenarijima, napadi su također viđeni zbunjenost korisnika dijeljenje lažnih heševa ili zloupotrebe masovne verifikacije radi isprobavanja preopterećenje serveraOdržavajte dobre prakse autentifikacije i dozvola kako biste smanjili rizike.
Mali trikovi za bolji rad sa Sigcheckom
Ako ćete pregledati hiljade datoteka, preusmjerava izlaz u CSV/TSV i podijelite rezultat sa svojim timom kako bi svi primjenjivali iste kriterije. Dobit ćete mogućnost praćenja i dosljednost u analizi.
Kombinirajte -a (entropija), -h (hash-ovi) y -v (VT) pruža vam slojevit pogled: pakere, otiske prstiju i reputaciju. Ova fuzija smanjuje lažno pozitivne rezultate i ubrzava donošenje odluka.
Ako ćete prvi put koristiti funkcije VirusTotala, ne zaboravite -vtA kada nema interneta, pripremite se unaprijed. authrootstl.cab/authroot.stl u trenutnom direktoriju za validaciju stringova sa -tv.
Za vrlo uobičajenu System32 trijažu među administratorima, direktna i efikasna komanda je:
sigcheck.exe -u -e -vt C:\\Windows\\System32
Korisni primjeri za razjašnjenje vaših nedoumica
Ispisivanje spremišta certifikata računara i filtriranje po Microsoftovim korijenskim direktorijima za prikaži samo važeće neusidrene stavke na toj listi:
sigcheck -tv -i -ct *
Pretražite potpise u katalogu i prenesite njihov sadržaj u CSV datoteku pomoću tabulator:
sigcheck -d -ct "C:\\Windows\\System32\\CatRoot\\*.cat"
Prolazak kroz simboličke i poddirektorije, ograničavanje na izvršne datoteke i generiranje CSV-a zarezima s hashovima:
sigcheck -l -s -e -h -c "D:\\Apps" > inventario_apps.csv
Pogledajte CSV prethodno snimljenih heševa (offline način rada) i otvorite izvještaje o onome što imate pozitivno otkrivanje:
sigcheck -o -vt -vr -c inventario_apps.csv
Napomene o kompatibilnosti i verzije koje treba imati na umu
Kao što je gore spomenuto, vidjet ćete reference na dva bloka kompatibilnosti: jedan koji počinje od Windows 8.1/Server 2012 i drugi koji pokriva od Windows Vista/Server 2008U svakom slučaju, sa trenutnom opremom radi normalno.
U karticama i prijevodima referenca na Sigcheck v2.82 već se mijenja iz 2021.-2022. Ako vam je potrebna određena verzija zbog politika vaše organizacije, koristite službeni poštanski broj i overava njegov potpis.
Svakodnevni podsjetnik za sigurnost
Prihvatite uslove korištenja VirusTotala sa -vt da biste izbjegli upite. Istražite bilo koju datoteku nepotpisan prije nego što ga pokrenete, posebno ako živite u sistemske ruteA ako radite na izolovanim mrežama, ponesite svoje datoteke sa sobom. autorizacijski korijen za potvrdu korijena.
Integracija Sigchecka u vaše tokove rada vam omogućava da potvrditi integritet, automatizirati inventare potpisa, generirati CSV-ove za verifikaciju, provjeriti reputaciju i istražiti spremišta certifikata. Lagan je, prenosiv i, kada se pravilno koristi, umnožite svoju vidljivost na Windowsu bez potrebe za velikim implementacijama.
Savladajte Sigcheck i dopunite sa PowerShell, Certutil, 7-Zip i HashCheck vam pružaju robustan set alata za provjeru datoteka, razumijevanje njihovog porijekla, validaciju potpisa i donošenje informiranih odluka. podaci koje možete braniti prije bilo kakve revizije.