Проверка цифровой подписи драйверов с помощью sigcheck

Автор: | 16.02.2014

Утилита sigcheck (http://technet.microsoft.com/en-us/sysinternals/bb897441) может быть очень полезной при анализе проблемных драйверов. Она позволяет:

  • анализировать наличие цифровой подписи файла (драйвера);
  • выводить информацию о версии драйвера и его разработчике;
  • анализировать файл с использованием сервиса virustotal.

Цифровая подпись файла – это механизм, который позволяет определить степень доверия к тому или иному файлу. Цифровая подпись позволяет сопоставить файл и его разработчика. Проверив цифровую подпись мы можем сказать, что этот драйвер был подписан Microsoft, а этот — компанией HP, а третий – возможно никем, что автоматически отправляет его в зону риска.

Информация о разработчике также довольно ценна. Благодаря утилите, мы можем получить информацию о разработчиках драйверов. С этого набора исключить Microsoft, Adobe и т.п. корпорации и увидеть драйверы, которые с более высокой вероятностью, могут быть причиной синих экранов смерти или относится к зловредному коду.

Сервис virustotal.com выполняет простую функцию. Он позволяет загрузить любым пользователем любой файл и выполнить проверку этого файла несколькими десятками антивирусов. После чего он предоставит информацию о том, какие из антивирусов считают данный файл зловредным. Вот как это выглядит в действии:

virustotal.com анализ драйверов

Как видим на изображении, показатель выявления 0 / 48 (0 из 48), то есть, с высокой долей вероятности, файл безвреден.

Sigcheck выполняет проверку файлов с помощью сервиса virustotal, избавляя нас от этой рутины. Это особенно полезно когда файлов много.

С параметрами утилиты sigcheck можно ознакомиться здесь — http://technet.microsoft.com/en-us/sysinternals/bb897441. Давайте рассмотрим наиболее полезные варианты запуска.

sigcheck -u -e c:windowssystem32drivers — отобразит все драйверы в указанном каталоге, которые не имеют цифровой подписи и которые неизвестны virustotal или при проверке которых был обнаружен зловредный код.

Вот список таких файлов в моей системе

c:windowssystem32driversIntcDAud.sys:
    Verified:    Unsigned
Link date:    15:12 23.08.2011
Publisher:    Intel(R) Corporation
Description:    Intel(R) Display Audio Driver
Product:    Intel(R) Display Audio
Prod version:    6.14.00.3086
File version:    6.14.00.3086 built by: WinDDK
MachineType:    64-bit
c:windowssystem32driversIntelMEFWVer.dll:
    Verified:    Unsigned
    Link date:    21:25 04.05.2011
Publisher:    n/a
Description:    IntelMEFWVer Dynamic Link Library
Product:    IntelMEFWVer Dynamic Link Library
Prod version:    7.1.13.1088
File version:    7.1.13.1088
MachineType:    32-bit
c:windowssystem32driversSETDD15.tmp:
    Verified:    Unsigned
Link date:    0:28 11.01.2012
Publisher:    Intel Corporation
Description:    Intel Graphics Kernel Mode Driver
Product:    Intel Graphics Accelerator Drivers for Windows 7(R)
Prod version:    8.15.10.2622
File version:    8.15.10.2622
MachineType:    64-bit

Как видим, такие опции полезны при поиске вирусов или другого зловредного кода. Обратите внимание, что драйвера с отчета не имеют цифровой подписи.

При анализе причин BSOD нам может пригодится вот такой вариант запуска

sigcheck.exe -ct -vrs c:windowssystem32drivers > rep.txt

Файл rep.txt будет содержать информацию о всех драйверах из указанного каталога в формате, с которым можно работать в Excel. Вот пример отчета из моей системы.

Отчет sigcheck

В Excel мы можем отфильтровать файлы по наличию подписи и столбцу Publisher (издатель). Останутся те драйвера, которые могут относится к зоне риска.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *