Xác minh tính toàn vẹn của tệp bằng Sigcheck trong Windows

Việc xác minh tính toàn vẹn và quyền tác giả của những gì bạn chạy trên Windows không phải là một ý thích nhất thời: đó là một thói quen giúp bạn tiết kiệm thời gian và công sức. Với tiện ích Sigcheck của Sysinternals, bạn có thể kiểm tra chéo Chữ ký số, chuỗi chứng chỉ và danh tiếng trong VirusTotal từ bảng điều khiển, nhanh chóng và chính xác.

Ngoài lý thuyết, giá trị nằm ở tính thực dụng: định vị các tệp nhị phân không dấu trong các đường dẫn chính như C:\\Windows\\System32, kiểm tra ngày hết hạn và thu hồi, tạo ra các giá trị băm để so sánh với nhà sản xuất và để lại hồ sơ trong CSV / TSV. Đồng thời, bạn có thể sử dụng các công cụ riêng của Windows (PowerShell, Certutil), xác thực danh sách và dựa vào Chữ ký PGP khi nhà cung cấp xuất bản các tệp .sig.

Sigcheck là gì và tại sao nó lại đáng giá?

Sigcheck là một tiện ích dòng lệnh từ Sysinternals (công trình của Mark Russinovich) hiển thị phiên bản tệp, dấu thời gian và thông tin chi tiết của chữ ký số, bao gồm chuỗi chứng chỉ. Ngoài ra, nó còn tích hợp với VirusTotal để kiểm tra uy tín theo hàm băm và, nếu bạn chỉ định, tải lên các mẫu không có trong cơ sở dữ liệu của nó.

Tải xuống, khả năng tương thích và kiểm tra ban đầu

Tiện ích này có tính di động và nhẹ (trang web chính thức cho biết tải xuống khoảng hàng trăm KB). Trong tài liệu và bảng dữ liệu, các dòng tương thích được đề cập là Máy khách: Windows 8.1 trở lên / Máy chủ: 2012 trở lên / Máy chủ Nano: 2016 trở lênvà cũng tham chiếu đến hoạt động từ Windows Vista/Máy chủ 2008. Trên các hệ thống hiện đại, bạn sẽ không gặp vấn đề gì khi chạy nó.

Đối với việc triển khai không cần giám sát, bạn có thể tải xuống và giải nén bằng PowerShell vào thư mục hiện tại của mình, giúp tăng tốc quá trình thử nghiệm và sách chơi:

Invoke-WebRequest -Uri https://download.sysinternals.com/files/Sigcheck.zip -OutFile Sigcheck.zip
Expand-Archive -Path .\Sigcheck.zip -DestinationPath .\

Kiểm tra trợ giúp nhị phân để xác minh đường dẫn và quyền trước khi phân tích, một thao tác nhanh giúp tránh nhầm lẫn về môi trường: tiết kiệm thời gian cho bạn từ phút đầu tiên.

sigcheck.exe -?

Cú pháp chung và chế độ thực thi

Sigcheck cung cấp một số chế độ tùy thuộc vào việc bạn đang phân tích tệp/thư mục, xuất danh mục, truy vấn CSV ở chế độ ngoại tuyến hay khám phá cửa hàng chứng chỉ. Nhớ dạng chung để di chuyển nhanh nhẹn.

sigcheck [-a][-h][-i][-e][-l][-n][[-s]|[-c|-ct]|[-m]][-q][-r][-u][-vt][-v[r][s]][-f catalog_file] <archivo o carpeta>
sigcheck -d [-c|-ct] <archivo o carpeta>
sigcheck -o [-vt][-v[r]] <csv_de_sigcheck>
sigcheck -t[u][v] [-i] [-c|-ct] <nombre_almacen|*>

Trong một số danh sách nó xuất hiện -q không có mô tả chi tiết; phần còn lại của các trình sửa đổi được ghi chép đầy đủ và cho phép bạn điều chỉnh mức độ chi tiết, định dạng và truy vấn để VirusTotal.

Tùy chọn và tham số khóa Sigcheck

Biết rõ các trình sửa đổi sẽ ngăn chặn việc quét lại và cải thiện năng suất của bạnSau đây là bản đồ cần thiết, được viết lại và sắp xếp để tham khảo nhanh.

Tham số	miêu tả
-a	Hiển thị thông tin phiên bản mở rộng và Sự hỗn loạn (bit/byte) của nội dung.
-accepteula	Chấp nhận EULA một cách im lặng, hữu ích cho các tập lệnh không tương tác.
-c / -ct	Đầu ra trong CSV với dấu phẩy o các tab, lý tưởng cho các báo cáo.
-d	Đổ nội dung của một tập tin danh mục (.con mèo).
-e	Chỉ phân tích hình ảnh thực thi, bỏ qua phần mở rộng.
-f	Tìm kiếm chữ ký trên danh mục được chỉ định.
-h	Mâu băm từ tệp.
-i	Bao gồm tên của danh mục và chuỗi chữ ký.
-l	Theo dõi liên kết tượng trưng và các công đoàn.
-m	Lật ngược lại rõ ràng nhúng.
-n	Chỉ hiển thị số phiên bản.
-nhà quản lý	Ẩn biểu ngữ khởi động; lý tưởng cho những vụ hành quyết im lặng.
-o	Kiểm tra VirusTotal với băm từ CSV được tạo bởi Sigcheck (chế độ thân thiện với ngoại tuyến).
-p	Xác minh chữ ký đối với một chính sách (GUID) bê tông.
-r	Vô hiệu hóa việc kiểm tra sự thu hồi (sử dụng nó một cách khôn ngoan).
-s	đi bộ thư mục con đệ quy.
-t[u][v]	Lật đổ các kho hàng của chứng nhận (sử dụng * cho tất cả). Với -bạn sẽ tham khảo ý kiến của người dùng. Với -truyền hình sẽ tải xuống danh sách gốc từ Microsoft và chỉ hiển thị giấy chứng nhận hợp lệ không nằm trong danh sách đó; nếu không có internet, nó sẽ cố gắng sử dụng authrootstl.cab o authroot.stl từ thư mục hiện tại.
-u	Không có VT: chỉ hiển thị các tập tin chưa được ký. Với VT: hiển thị các tập tin không rõ hoặc đã phát hiện khác không.
-v[rs]	tư vấn VirusTotal bằng băm. Thêm r để mở các báo cáo có phát hiện và s để tải lên các tệp chưa quét (có thể mất vài phút để có kết quả).
-vt	Nó đánh dấu sự chấp nhận của Điều khoản VT; nếu không, bạn sẽ thấy lời nhắc tương tác.

Các trường hợp sử dụng thực tế với Sigcheck

Một tìm kiếm nhanh các tệp thực thi chưa được ký trong System32 là một điều may mắn để phát hiện những bất thường rõ ràngTrên Windows hợp lệ, mọi thứ trong đường dẫn này thường được ký; bất kỳ thứ gì không có chữ ký đều đáng được xem xét lại.

sigcheck -u -e C:\\Windows\\System32

Nếu bạn định kết hợp chữ ký và danh tiếng, trước tiên hãy chấp nhận Điều khoản dịch vụ (VT TOS) và đưa ra truy vấn tải lên khi thích hợp. Điều này vượt qua tính toàn vẹn mật mã cục bộ với trí tuệ tập thể nhiều động cơ.

Chấp nhận các điều khoản: sigcheck -vt <archivo>
Truy vấn với báo cáo đối với những mặt tích cực: sigcheck -vrs <archivo>
Lọc không xác định/tích cực trong một thư mục: sigcheck -u -s -v <carpeta>

Đối với các cuộc kiểm toán lớn hoặc các nhóm không có Internet, hãy tách việc ghi lại các hàm băm khỏi tra cứu danh tiếng. Luồng này tăng tốc phân loại và giảm thiểu tác động Trong mạng.

sigcheck -h -ct -s C:\\Windows\\System32 > inventario.tsv
sigcheck -o -vt -vr inventario.tsv

Chứng chỉ, kho hàng và chuỗi tín nhiệm

Sigcheck cũng hoạt động với cửa hàng chứng chỉ. Bạn có thể đổ một kho cụ thể (hoặc tất cả với *) và thêm -bạn để chuyển sang cửa hàng người dùng. Với -truyền hình sẽ lọc bằng danh sách gốc đáng tin cậy của Microsoft, chỉ hiển thị chứng chỉ có giá trị không nằm trong danh sách đó.

sigcheck -tv -i -ct *

Trong môi trường bị cô lập, hãy chuẩn bị trong thư mục làm việc authrootstl.cab o authroot.stl để giữ cho bộ lọc gốc hoạt động ngay cả khi bạn không có internet.

Nếu bạn cần xác thực theo một chính sách công ty, sử dụng -p với GUID tương ứng. Và nếu bạn định gỡ lỗi các vấn đề xác minh, -r vô hiệu hóa truy vấn thu hồi (tránh sử dụng theo mặc định).

Các kịch bản pháp y và danh mục

Trong phân tích về hình ảnh gắn kết, nhập danh mục hệ thống nguồn nếu bạn muốn tối đa hóa việc xác minh chữ ký. Sao chép các thư mục dịch vụ mật mã (chẳng hạn như CatRoot) vào máy chủ phân tích và khởi động lại dịch vụ. Dịch vụ mật mã Nó thường cải thiện đáng kể việc xác thực chuỗi.

Để làm việc trực tiếp với danh mục, hãy nhớ: -d đổ nội dung của nó và -f Hãy tìm một thương hiệu trong danh mục được chỉ định. Điều này rất quan trọng khi giao dịch với trình điều khiển và các thành phần hệ thống phụ thuộc vào .cat.

sigcheck -d -ct 'C:\\Windows\\System32\\CatRoot\\*.cat'

Hash: chúng là gì và nên sử dụng loại nào

Một băm là dấu vân tay của một tệp: nó thay đổi một bit và giá trị kết quả hoàn toàn khác. Đó là lý do tại sao chúng được sử dụng để xác minh lượt tải xuống, bảo vệ bằng chứng pháp y hoặc phát hiện bản sao.

Các thuật toán và cân nhắc thực tế mà bạn nên ghi nhớ hàng ngày, ưu tiên bảo mật và khả năng tương thích:

MD5: rất nhanh nhưng có va chạm; hợp lệ đối với các nhận dạng không đối nghịch.
SHA-1: cũng có thể xảy ra va chạm; tốt nhất nên tránh sử dụng cho mục đích mới.
SHA-2 (224/256/384/512): tiêu chuẩn hiện hành; SHA-256 là ký tự đại diện được đề xuất.
SHA-3: Giải pháp thay thế hiện đại được NIST chấp thuận.
BLAKE2/BLAKE3: hiệu suất rất cao với sự bảo đảm chắc chắn.

Đối với mật khẩu, tránh sử dụng hàm băm nhanh; hãy sử dụng các hàm phái sinh như bcrypt, tiền điện tử o Argon2. Và hãy nhớ: luôn luôn kiểm tra HTTPS và từ các nguồn chính thức.

Xác thực trên Windows mà không cần cài đặt bất cứ thứ gì: PowerShell và Certutil

Windows có sẵn các công cụ tích hợp giúp giải quyết các vấn đề cơ bản về tính toàn vẹn chỉ trong vài giây. Với PowerShell, bạn có thể SHA-256 ngay lập tức và so sánh với thông tin do nhà cung cấp công bố.

Get-FileHash 'C:\\Ruta\\archivo.ext' -Algorithm SHA256

Cùng với Chứng nhận (từ CMD hoặc PowerShell) bạn có thể tạo các hàm băm khác nhau và tự động hóa các lô; điều này rất thiết thực cho kịch bản và xác minh định kỳ.

certutil -hashfile 'C:\\Ruta\\archivo.ext' SHA256

Nếu bạn thích tuyến đường trực quan, 7-Zip sẽ thêm các tùy chọn CRC/SHA vào menu ngữ cảnh hiển thị giá trị trên bay (ưu tiên SHA-256 khi có thể).

Xác minh và danh sách kiểm tra Linux

Trong GNU/Linux bạn có các tiện ích chuẩn như sha256sum, sha512sum o md5sum. Luồng giống hệt nhau: tính toán cục bộ và comparar với mã băm chính thức.

Chữ ký PGP và tệp .sig

Khi một dự án xuất bản một gói cùng với một .Kế tiếp, bạn đang xem một chữ ký OpenPGP. Bạn không so sánh một hàm băm duy nhất ở đây: bạn đang xác nhận rằng tệp đã được ký bởi chìa khóa bảo trì và không thay đổi.

Nhập khóa công khai của tác giả hoặc đồng bộ hóa vòng chìa khóa của bản phân phối của bạn.
Kiểm tra: gpg --verify paquete.tar.zst.sig paquete.tar.zst

Nếu chữ ký hợp lệ và khóa chính xác, bạn được đảm bảo tính toàn vẹn và nguồn gốcCác nhà quản lý như PacMan tự động hóa quy trình này hàng ngày.

So sánh các tập tin với nhau

Để tìm hiểu xem một bản sao có giống hệt bản gốc hay không, hãy tính toán hàm băm của cả hai và so sánh chúng. Nếu chúng trùng khớp, bản sao đó là từng chút một bằng nhau; nếu chúng khác nhau, có nghĩa là có điều gì đó đã thay đổi trong quá trình này.

Bản gốc: sha256sum documento.bin
Sao chép: sha256sum documento_copia.bin

Công cụ đồ họa được đề xuất

Nếu bạn thích GUI, có những tiện ích nhẹ và hiệu quả hỗ trợ nhiều thuật toán và tính năng bổ sung. Chúng cho phép bạn tạo băm hàng loạt, so sánh các thư mục và tạo danh sách.

QuickHash (Win/Linux/macOS): Mã nguồn mở, sạch và linh hoạt; hỗ trợ MD5, SHA-1/2/3, BLAKE2/3, xxHash, v.v.
HashMyFiles (Windows): di động, tạo băm hàng loạt, tích hợp menu ngữ cảnh.
nhiều băm (Windows): Hoạt động theo thư mục và thư mục con; nhiều thuật toán.
MD5 & SHA Checksum Utility (Windows): Nhận/xác minh MD5, SHA-1/256/512 và xuất báo cáo.
HashCalc, Kiểm tra băm MD5, máy băm nhỏ, chếtHash, Máy phát điện băm, IVF y Kiểm soát tổng kiểm tra: các tùy chọn bổ sung cần cân nhắc tùy theo nhu cầu của bạn.

HashCheck trên Windows: Tích hợp Explorer

HashCheck thêm một tab Checksum trong Thuộc tính Tệp và cho phép bạn lưu hồ sơ xác minh. Sau đó, khi bạn mở nó, nó sẽ đánh dấu những mục không khớp bằng màu đỏ, một cách rất thuận tiện để kiểm tra toàn bộ thư mục.

Thuộc tính > Tab Tổng kiểm tra > Lưu danh sách.
Nếu tệp thay đổi, khi bạn mở lại danh sách, bạn sẽ thấy những điểm khác biệt được đánh dấu.
Bạn cũng có thể tạo tệp điều khiển cho tất cả các tệp trong một thư mục.

Nếu không cài đặt HashCheck, bạn vẫn có thể mở tệp kiểm tra bằng Notepad để so sánh các giá trị băm theo cách thủ công khi bạn chạm.

Rủi ro, va chạm và thực hành tốt

Mặc dù MD5 y SHA-1 đã hiển thị các va chạm, sử dụng SHA-256/512 hoặc SHA-3 giúp bạn luôn ở trong vùng an toàn về tính toàn vẹn. Kiểm tra mọi thứ bằng HTTPS và từ các trang web chính thức để tránh các mã băm bị thao túng trên các trang lừa đảo.

Những kẻ tấn công có thể thử làm giả băm chia sẻ trên các diễn đàn hoặc trang web sao chép, hoặc thậm chí lạm dụng xác minh để quấy rối dịch vụ. Đó là lý do tại sao nên xác minh qua nhiều kênh (chữ ký hoặc danh mục PGP, danh tiếng VT) và áp dụng các biện pháp kiểm soát xác minh. truy cập và phân biệt đối xử khi thích hợp.

Mẹo hữu ích và ví dụ nhanh

Nếu bạn định xem xét hàng ngàn tập tin, hãy chuyển hướng đến CSV / TSV và chia sẻ kết quả với nhóm của bạn: mọi người sẽ làm việc với cùng một cơ sở bằng chứng.

sigcheck -l -s -e -h -c 'D:\\Apps' > inventario_apps.csv
sigcheck -o -vt -vr inventario_apps.csv

Kết hợp -a (entropy), -h (băm) y -v (VT) Nó cung cấp chế độ xem nhiều lớp giúp giảm thiểu các kết quả dương tính giả. Đối với System32, một mẹo nhanh rất hiệu quả là:

sigcheck.exe -u -e -vt C:\\Windows\\System32

Bối cảnh và hệ sinh thái của Sysinternals

Sysinternals là một bộ sưu tập các tiện ích miễn phí từ microsoft để chẩn đoán và an toàn. Các cuộc nói chuyện và trình diễn đã chỉ ra cách sử dụng chúng cho xác định và dọn dẹp phần mềm độc hại. Sigcheck là một sản phẩm nhẹ, chính xác và dễ lắp ráp bộ dụng cụ quản lý.

Các ứng dụng thực tế khác của hàm băm

Ngoài việc tải xuống, băm giúp duy trì chuỗi hành trình Trong pháp y, xác định các bản sao lưu, tăng tốc loại bỏ trùng lặp và duy trì chữ ký số của tài liệu và phần mềm.

Trong thế giới của blockchain và tiền điện tử, băm là xương sống (cây Merkle, địa chỉ, khai thác, hợp đồng). Chúng cũng là cơ sở của chữ ký chống phần mềm độc hại (danh mục băm đã biết các mối đe dọa) và có thể hỗ trợ kiểm soát bản quyền bằng cách theo dõi tính toàn vẹn của nội dung.

Khi tải xuống chương trình cơ sở (bộ định tuyến, BIOS, v.v.), việc xác minh hàm băm trước khi cập nhật sẽ ngăn bạn biến thiết bị thành ladrilloNếu không khớp, đừng tiếp tục.