Sigcheck es una utilidad de línea de comandos de Windows Sysinternals. Está desarrollado para mostrar los números de versión del archivo, la marca de tiempo y los detalles de la firma digital, incluidas las cadenas de certificados. En la versión reciente, también incluye una opción para verificar el estado del archivo en VirusTotal para ver si está infectado por un virus, al igual que Autoruns y Process Explorer.
El uso básico de esta herramienta es simple:
sigcheck [-switches] <file or directory>
Hay muchos conmutadores disponibles, pero para comenzar con algo simple, puede simplemente ignorar todos los conmutadores y solo ejecutar sigcheck en un archivo o carpeta.
O, con interruptor -h para mostrar la información hash sobre el archivo.
O verificando el estado del virus con el interruptor -v. Si es la primera vez que usa sigcheck con VirusTotal, necesitará -Vermont para aceptar los términos de servicio de VirsTotal.
Así que volvamos al tema, para encontrar los archivos ejecutables sin firmar en una carpeta en particular, puede usar lo siguiente sigcheck uso.
sigcheck -u -e directory
los -mi es solo escanear archivos ejecutables. Un uso común de esto es usarlo contra la carpeta del sistema de Windows c: windows system32:
Por último, con los interruptores como -C o -Connecticut, puede exportar el resultado a un archivo CSV delimitado por comas o por tabulaciones.