SigCheck工具使用指南:文件扫描、签名验证与安全分析
1. 证书列表参数说明
SigCheck提供了一系列用于列出证书的参数,具体如下:
| 参数 | 描述 |
| — | — |
| -t | 列出指定计算机证书存储中的证书(默认是所有计算机存储) |
| -tu | 与 -t 相同,但列出用户证书存储而非计算机存储 |
| -tv | 下载Microsoft受信任根证书列表,并列出指定计算机证书存储中未链接到该列表中证书的证书 |
| -tuv | 与 -tv 相同,但检查用户证书存储而非计算机存储 |
2. 文件扫描目标参数
在进行文件和目录扫描时,目标参数是唯一必需的参数。它有以下几种指定方式:
- 单个文件:例如explorer.exe
- 多个文件:使用通配符,如*.dll
- 目录:使用相对或绝对路径。若指定目录,SigCheck会扫描该目录下的每个文件,如命令sigcheck可扫描当前目录下的所有文件。
然而,大多数非可执行文件没有使用代码签名证书进行数字签名。Windows附带且从未修改过的一些非可执行文件可能进行了目录签名,但可更新的数据文件(如初始化文件、注册表配置单元备份文件、文档文件和临时文件)永远不会进行代码签名。若扫描包含大量此类文件的目录,可能难以找到通常更受关注的未签名可执行文件。
为过滤这些误报,可以使用-e参数。添加-e到SigCheck命令
