Проверка цифровой подписи драйверов с помощью sigcheck

Утилита sigcheck (http://technet.microsoft.com/en-us/sysinternals/bb897441) может быть очень полезной при анализе проблемных драйверов. Она позволяет:

  • анализировать наличие цифровой подписи файла (драйвера);
  • выводить информацию о версии драйвера и его разработчике;
  • анализировать файл с использованием сервиса virustotal.

Цифровая подпись файла – это механизм, который позволяет определить степень доверия к тому или иному файлу. Цифровая подпись позволяет сопоставить файл и его разработчика. Проверив цифровую подпись мы можем сказать, что этот драйвер был подписан Microsoft, а этот — компанией HP, а третий – возможно никем, что автоматически отправляет его в зону риска.

Информация о разработчике также довольно ценна. Благодаря утилите, мы можем получить информацию о разработчиках драйверов. С этого набора исключить Microsoft, Adobe и т.п. корпорации и увидеть драйверы, которые с более высокой вероятностью, могут быть причиной синих экранов смерти или относится к зловредному коду.

Сервис virustotal.com выполняет простую функцию. Он позволяет загрузить любым пользователем любой файл и выполнить проверку этого файла несколькими десятками антивирусов. После чего он предоставит информацию о том, какие из антивирусов считают данный файл зловредным. Вот как это выглядит в действии:

Как видим на изображении, показатель выявления 0 / 48 (0 из 48), то есть, с высокой долей вероятности, файл безвреден.

Sigcheck выполняет проверку файлов с помощью сервиса virustotal, избавляя нас от этой рутины. Это особенно полезно когда файлов много.

С параметрами утилиты sigcheck можно ознакомиться здесь — http://technet.microsoft.com/en-us/sysinternals/bb897441. Давайте рассмотрим наиболее полезные варианты запуска.

sigcheck -u -e c:windowssystem32drivers — отобразит все драйверы в указанном каталоге, которые не имеют цифровой подписи и которые неизвестны virustotal или при проверке которых был обнаружен зловредный код.

Вот список таких файлов в моей системе

c:windowssystem32driversIntcDAud.sys:
    Verified:    Unsigned Link date:    15:12 23.08.2011 Publisher:    Intel(R) Corporation Description:    Intel(R) Display Audio Driver Product:    Intel(R) Display Audio Prod version:    6.14.00.3086 File version:    6.14.00.3086 built by: WinDDK MachineType:    64-bit c:windowssystem32driversIntelMEFWVer.dll:

    Verified:    Unsigned
    Link date:    21:25 04.05.2011

Publisher:    n/a Description:    IntelMEFWVer Dynamic Link Library Product:    IntelMEFWVer Dynamic Link Library Prod version:    7.1.13.1088 File version:    7.1.13.1088 MachineType:    32-bit c:windowssystem32driversSETDD15.tmp:

    Verified:    Unsigned

Link date:    0:28 11.01.2012 Publisher:    Intel Corporation Description:    Intel Graphics Kernel Mode Driver Product:    Intel Graphics Accelerator Drivers for Windows 7(R) Prod version:    8.15.10.2622 File version:    8.15.10.2622

MachineType:    64-bit

Понравилась статья? Поделиться с друзьями: