Проверите интегритет датотеке помоћу Сигцхецк-а у оперативном систему Виндовс

  • Sigcheck ревидира потписе, сертификате и репутацију у VirusTotal-у из конзоле.
  • Практични токови: System32, CSV/TSV за ревизије и офлајн режим са -o.
  • Ојачајте интегритет помоћу PowerShell/Certutil, PGP и GUI алата.
Joaquin Romero

КСНУМКС Минутос

Како користити Sigcheck у оперативном систему Windows за проверу интегритета датотека

Провера интегритета и ауторства онога што покрећете на Windows-у није хир: то је рутина која вам штеди муке и губљење времена. Уз помоћ Sysinternals-овог Sigcheck услужног програма, можете унакрсну проверу Дигитални потписи, ланци сертификата и репутација у VirusTotal-у из конзоле, брзо и прецизно.

Поред теорије, вредност је у прагматичном аспекту: лоцирање непотписаних бинарних датотека у кључним путањама као што су C:\\Windows\\System32, проверити истеке и опозиве, генерисати хешеве за упоређивање са произвођачем и оставити запис у ЦСВ/ТСВИстовремено, можете користити Windows-ове алате (PowerShell, Certutil), валидирати листе и ослањати се на ПГП потписи када провајдер објави .sig датотеке.

Шта је Сигчек и зашто се исплати?

Sigcheck је услужни програм командне линије компаније Sysinternals (дело компаније Марк Руссиновицх) који приказује верзију датотеке, временске ознаке и детаље о дигитални потпис, укључујући ланац сертификата. Поред тога, има интеграцију са ВирусТотал да провери репутацију помоћу хеша и, ако то назначите, отпреми узорке који нису у његовој бази података.

АццессЦхк
Повезани чланак:
AccessChck: Решавање проблема са приступом датотекама у оперативном систему Windows

Његова типична употреба покрива два фронта: инвентар и откривање непотписаних извршних датотека или са проблематичним потписима, и безбедносном тријажом коју подржавају десетине антивирусних програма. Такође може да наведе сертификате из системских складишта и рекурзивно прелази директоријуме помоћу корисних филтера.

Преузимање, компатибилност и почетне провере

Услужни програм је преносив и лаган (званична веб страница наводи преузимање од око стотине килобајта). У документацији и техничким листовима, линије компатибилности се помињу као Клијент: Windows 8.1+ / Сервер: 2012+ / Нано Сервер: 2016+, а такође и референце на операцију из Windows Vista/Server 2008На модерним системима нећете имати проблема са његовим покретањем.

За ненаручено распоређивање можете преузети и распаковати помоћу PowerShell-а у тренутну фасциклу, што убрзава тестирање и плаибоокс:

Invoke-WebRequest -Uri https://download.sysinternals.com/files/Sigcheck.zip -OutFile Sigcheck.zip
Expand-Archive -Path .\Sigcheck.zip -DestinationPath .\

Проверите бинарну помоћ да бисте проверили путању и дозволе пре анализе, брз гест који избегава забуну у окружењу: штеди вам време од првог минута.

sigcheck.exe -?

Шта је Сигцхецк и како га користити у оперативном систему Виндовс

Општа синтакса и режими извршавања

Sigcheck нуди неколико режима у зависности од тога да ли анализирате датотеке/директоријуме, вршите дамп каталога, испитујете CSV датотеке у офлајн режиму или истражујете продавнице сертификатаЗапамтите општи образац за агилно кретање.

sigcheck [-a][-h][-i][-e][-l][-n][[-s]|[-c|-ct]|[-m]][-q][-r][-u][-vt][-v[r][s]][-f catalog_file] <archivo o carpeta>
sigcheck -d [-c|-ct] <archivo o carpeta>
sigcheck -o [-vt][-v[r]] <csv_de_sigcheck>
sigcheck -t[u][v] [-i] [-c|-ct] <nombre_almacen|*>

У неким листама се појављује -q без детаљног описа; остали модификатори су добро документовани и омогућавају вам да подесите ниво детаља, формат и упите ВирусТотал.

Sigcheck кључне опције и параметри

Добро познавање модификатора спречава понављање скенирања и побољшати своју продуктивностЕво основне мапе, преписане и организоване за брзо коришћење.

Параметар опис
-a Приказује проширене информације о верзији и ентропија (битова/бајтова) садржаја.
-accepteula Ћутљиво прихвата EULA, корисно за неинтерактивне скрипте.
-c / -цт Излаз у CSV формату са зарезима o картице, идеално за извештаје.
-d Исписује садржај датотека каталога (.cat).
-e Само анализирај извршне слике, игноришите екстензије.
-f Потражите потпис на наведени каталог.
-h Узорак хеше из датотеке.
-i Укључује име каталог и ланац потписа.
-l Слиједите симболичне везе и синдикати.
-m Окрените манифестовати уграђени.
-n Прикажи само број верзије.
-безбанера Сакрива почетни банер; идеално за тиха погубљења.
-o Проверите VirusTotal са хешеви из CSV датотеке генерисано помоћу Sigcheck-а (режим прилагођен офлајн-у).
-p Проверите потписе у односу на политика (GUID) бетон.
-r Онемогућава проверу опозив (користите га паметно).
-s ходати поддиректоријуми рекурзивно.
-т[у][в] Преврће складишта сертификата (користите * за све). Са -ту консултоваће се са корисником. Са - ТВ преузеће коренску листу од Мајкрософта и приказаће само важећи сертификати није укорењен у тој листи; ако нема интернета, покушаће да користи аутроотстл.цаб o аутроот.стл из тренутног директоријума.
-u Без ВТ: само приказ непотписане датотекеСа VT: приказује датотеке непознато или са детекцијом ненулти.
-v[rs] консултације ВирусТотал помоћу хеша. Додај r да отворите извештаје са детекцијама и s да отпремите нескениране датотеке (резултати могу потрајати неколико минута).
-vt То означава прихватање Услови ВТ-а; ако не, видећете интерактивни упит.

Практични случајеви употребе са Sigcheck-ом

Брза претрага непотписаних извршних датотека у System32 је прави дар за откривање очигледне аномалијеНа легитимном Windows-у, све у овој путањи је обично потписано; све што није заслужује преглед.

sigcheck -u -e C:\\Windows\\System32

Ако ћете комбиновати потпис и репутацију, прво прихватите услове коришћења услуга виртуалног идентификатора (VT) и по потреби пошаљите упит са отпремањем. Ово укршта локални криптографски интегритет са колективна интелигенција вишемоторни.

  1. Прихвати услове: sigcheck -vt <archivo>
  2. Упит са извештајима за позитивне стране: sigcheck -vrs <archivo>
  3. Филтер непознато/позитивно у фасцикли: sigcheck -u -s -v <carpeta>

За велике ревизије или тимове без интернета, одвојите снимање хешева од потражити репутацију. Овај ток убрзава тријажу и минимизира утицај У мрежи.

sigcheck -h -ct -s C:\\Windows\\System32 > inventario.tsv
sigcheck -o -vt -vr inventario.tsv

Сертификати, складишта и ланци поверења

Сигчек такође ради са продавнице сертификатаМожете да избаците одређено складиште (или сва са *) и додате -ту да бисте прешли на корисничку продавницу. Са - ТВ филтрираће користећи Microsoft-ову листу поузданих коренских директоријума, приказујући само сертификате validan који нису укорењени у тој листи.

sigcheck -tv -i -ct *

У изолованим окружењима, припремите у радном директоријуму аутроотстл.цаб o аутроот.стл да би филтрирање корена функционисало чак и ако немате интернет.

Ако је потребно да потврдите према корпоративна политика, користи -p са одговарајућим GUID-ом. А ако ћете отклањати грешке у вези са верификацијом, -r онемогућава упит за опозив (избегавајте његово коришћење подразумевано).

Форензички сценарији и каталози

У анализи на монтиране слике, увезите каталог изворног система ако желите да максимизирате верификацију потписа. Копирајте фасцикле криптографских сервиса (као што је CatRoot) на хост за анализу и поново покрените сервис. Цриптограпхиц Сервицес Обично знатно побољшава валидацију низова.

Да бисте директно радили са каталозима, запамтите: -d испушта свој садржај и -f Потражите бренд у назначеном каталогу. Кључно је када имате посла са возачи и системске компоненте које зависе од .cat.

sigcheck -d -ct 'C:\\Windows\\System32\\CatRoot\\*.cat'

Хешеви: шта су и које користити

Хеш је отисак прста датотеке: мења се један бит и резултујућа вредност је потпуно другачија. Зато се користе за верификацију преузимања, заштиту форензичких доказа или откривање дупликата.

Алгоритми и практична разматрања која треба имати на уму свакодневно, дајући приоритет сигурност и компатибилност:

  • МДКСНУМКС: веома брзо али са колизијама; важи за несупарничке идентификације.
  • СХА-КСНУМКС: такође са познатим сударима; најбоље избегавати за нове употребе.
  • СХА-КСНУМКС (224/256/384/512): тренутни стандард; СХА-КСНУМКС је препоручени џокер.
  • СХА-КСНУМКС: Модерна алтернатива коју је одобрио NIST.
  • БЛЕЈК2/БЛЕЈК3Веома високе перформансе са чврстим гаранцијама.

За лозинке, избегавајте брзе хешеве; користите функције извођења као што су бцрипт, скрипта o Аргон2И запамтите: увек проверите ХТТПС и из званичних извора.

Валидација на Windows-у без инсталирања било чега: PowerShell и Certutil

Windows долази са уграђеним алатима који решавају основне проблеме интегритета за неколико секунди. Са PowerShell-ом, можете добити СХА-КСНУМКС одмах и упоредите га са оним који је објавио добављач.

Get-FileHash 'C:\\Ruta\\archivo.ext' -Algorithm SHA256

Такође са Цертутил (из CMD-а или PowerShell-а) можете генерисати различите хешеве и аутоматизовати групе; веома је практично за скрипте и периодичну верификацију.

certutil -hashfile 'C:\\Ruta\\archivo.ext' SHA256

Ако вам се свиђа визуелна рута, 7-Zip додаје CRC/SHA опције у контекстни мени који приказују вредности у ходу (даје приоритет SHA-256 када је то могуће).

Верификација и контролне листе за Линукс

У ГНУ/Линуксу имате стандардне услужне програме као што су сха256сум, сха512сум o мдКСНУМКСсумТок је идентичан: израчунајте локално и упоредити са званичним хешем.

АццессЕнум
Повезани чланак:
Водич за Accessenum за Windows
  • МД5: md5sum archivo
  • СХА-256: sha256sum archivo
  • Брзи CRC32: cksum archivo

За више датотека, листе .sfv/.md5/.sha1 знатно олакшавају живот. Са cksfv o цфв Можете лако валидирати или креирати листе у терминалу.

  • Инсталирајте cksfv: sudo apt install cksfv
  • Проверите листу: cksfv -g /ruta/lista.sfv
  • Направите нови: cksfv fichero1 fichero2 > listado.sfv

Ако више волите цфв, имаћете подршку за широк формат (sfv, md5, par2…), савршено за залихе хетерогених.

  • Инсталирај: sudo apt install cfv
  • Проверавати: cfv -f /ruta/test.sfv
  • Створити: cfv -C -flista.sfv -tsfv documento.pdf documento2.jpg

PGP потписи и .sig датотеке

Када пројекат објави пакет поред .сиг, гледате OpenPGP потпис. Овде не упоређујете један хеш: потврђујете да је датотека потписана од стране кључ за одржавање и није се променио.

  1. Увезите јавни кључ аутора или синхронизујте привезак кључева ваше дистрибуције.
  2. Проверавати: gpg --verify paquete.tar.zst.sig paquete.tar.zst

Ако је потпис валидан и кључ је исправан, гарантовано вам је интегритет и пореклоМенаџери попут PacMan-а аутоматизују овај процес свакодневно.

Упоредите датотеке једне са другима

Да бисте сазнали да ли је копија идентична оригиналу, израчунајте хеш оба и упоредите их. Ако се подударају, копија је мало по мало једнаки; ако се разликују, нешто се променило током процеса.

  • Оригинал: sha256sum documento.bin
  • Копија: sha256sum documento_copia.bin

Препоручени графички алати

Ако више волите графички кориснички интерфејс, постоје лагани и ефикасни алати са подршком за више алгоритама и додатним функцијама. Они вам омогућавају да генеришете хешеве у великим количинама, упореди фасцикле и креирајте листе.

  • КуицкХасх (Win/Linux/macOS): Отвореног кода, чист и свестран; подржава MD5, SHA-1/2/3, BLAKE2/3, xxHash, итд.
  • ХасхМиФилес (Windows): преносив, генерише хешеве на велико, интегрише контекстни мени.
  • МултиХасхер (Windows): Ради по фасцикли и подфасцикли; вишеструки алгоритми.
  • Услужни програм за контролну суму МД5 & СХА (Windows): Преузмите/проверите MD5, SHA-1/256/512 и извезите извештаје.
  • ХасхЦалц, Провера MD5 хеша, Хешер Лајт, Дедхеш, Хасх Генератор, ФЦИВ y Контрола контролне суме: додатне опције које треба размотрити у зависности од ваших потреба.

HashCheck на Windows-у: Интеграција са Explorer-ом

HashCheck додаје картицу Цхецксум у својствима датотеке и омогућава вам да сачувате фајл верификација. Затим, када га отворите, црвеном бојом се означавају они који се не подударају, што је веома згодан начин за ревизију целе фасцикле.

  1. Својства > картица Контролни збир > Сачувај листу.
  2. Ако се датотека промени, када поново отворите листу видећете означене неслагања.
  3. Такође можете креирати контролну датотеку за све датотеке у фасцикли.

Без инсталираног HashCheck-а, и даље можете отворити датотеку за проверу помоћу Нотепад да ручно упоредите хешеве када додирнете.

Ризици, судари и добре праксе

Мада МДКСНУМКС y СХА-КСНУМКС показао је колизије, коришћење SHA-256/512 или SHA-3 вас држи у безбедној зони за интегритет. Проверите све тако што ћете ХТТПС и са званичних сајтова како би се избегли манипулисани хешеви на лажним страницама.

Нападачи могу покушати фалсификовати хешеве деле се на форумима или клонираним сајтовима, или чак злоупотребљавају верификације за узнемиравање сервиса. Зато је добра идеја верификовати путем више канала (PGP потпис или каталог, VT репутација) и применити контроле верификације. приступ и сегрегацију где је то прикладно.

Корисни савети и брзи примери

Ако ћете прегледати хиљаде датотека, преусмерите на ЦСВ/ТСВ и поделите резултате са својим тимом: сви ће радити са истом базом доказа.

sigcheck -l -s -e -h -c 'D:\\Apps' > inventario_apps.csv
sigcheck -o -vt -vr inventario_apps.csv

Комбинирајте -а (ентропија), -h (хешеви) y -в (ВТ) Пружа слојевити приказ који смањује лажно позитивне резултате. За System32, брзи пример који веома добро функционише је овај:

sigcheck.exe -u -e -vt C:\\Windows\\System32

Sysinternals контекст и екосистем

Сисинтерналс је колекција бесплатних услужних програма од Microsoft за дијагнозу и безбедност. Предавања и демонстрације су показале како их користити за идентификује и чисти злонамерни софтверСигчек се уклапа као лаган, прецизан и лако уграђујући комад. комплети за администрацију.

Друге примене хешева у стварном животу

Поред преузимања, хешеви помажу у одржавању ланац чувања У форензици, идентификујте дупликате, убрзајте дедупликацију у резервним копијама и одржавајте дигитални потписи докумената и софтвера.

У свету блокчејн и криптовалуте, хешеви су окосница (Мерклова стабла, адресе, рударење, уговори). Они су такође основа анти-малвер потписа (каталози познати хешеви претњи) и може подржати контроле ауторских права праћењем интегритета садржаја.

Приликом преузимања фирмвера (рутера, BIOS-а итд.), провера хеша пре ажурирања спречава да уређај претворите у ладриллоАко се не подудара, не настављајте.

Имејл са злонамерним софтвером
Повезани чланак:
Како открити имејлове који садрже злонамерни софтвер или фишинг

Усвајање Sigcheck-а и његово допуњавање PowerShell-ом, Certutil-ом, 7-Zip-ом и добрим праксама верификације ставља вас у добру равнотежу: видљивост Високе, ниске цене и информисане одлуке. Овај приступ смањује ризик извршавања сумњивих бинарних датотека, побољшава ваше инвентаре поверења и даје вам чврсте аргументе у случају ревизија или обдукције. Поделите овај туторијал како би више корисника могло да сазна више о овом систему у оперативном систему Windows..