我們可以利用微軟官方提供的命令行工具:SigCheck.exe,這個命令行工具可以在命令提示符下直接檢查文件的數字簽名,操作也是相當的簡單。請訪問微軟官網,單擊“Download Sigcheck”鏈接將其下載回來,釋放之后即可使用。
實例一:檢查單個文件的數字簽名
這里以檢查notepad.exe的數字簽名為例進行說明,依次選擇“所有程序→附件→命令提示符”,右擊選擇“以管理員身份運行”,進入命令提示符環境之后手工輸入如下命令:
sigcheck j:WindowsSystem32notepad.exe
檢查效果如圖2所示,“Publisher:”后面顯示的信息就是了。需要說明的是,即使你將notepad.exe這個文件復制到其他的路徑下,其數字簽名信息並不會改變。
圖2 SigCheck運行界面
實例二:批量檢查數字簽名
很多情況下,我們可能需要找出某個目錄下是否存在未經過數字簽名的文件,例如“c:windowssystem32”文件夾,那么可以使用如下命令:
sigcheck -u -e c:windowssystem32 >abc.txt
執行后可以將相關檢查信息輸出至abc.txt文件
簡介
驗證映像進行了數字簽名並使用這一簡單的命令行實用工具轉儲版本信息。
用法:sigcheck [-i][-e][[-s]|[-v]][-q][-u] [-c catalog file] <文件或目錄>
-c
在指定的編錄文件中查找簽名。
-e
只掃描可執行映像(無論擴展名是什么)
-i
顯示映像簽名者
-n
只顯示版本號
-q
靜默(無標語)
-s
對子目錄執行遞歸操作
-u
只顯示未簽名的文件
-v
以 CSV 格式顯示輸出內容
使用該工具的一種方法是使用以下命令檢查 /Windows/System32 目錄中是否存在未簽名的文件:
sigcheck -u -e c:/windows/system32
您應該研究所有未簽名文件的目的。