Утилита sigcheck (https://technet.microsoft.com/en-us/sysinternals/bb897441) может быть очень полезной при анализе проблемных драйверов. Она позволяет:
-
анализировать наличие цифровой подписи файла (драйвера);
-
выводить информацию о версии драйвера и его разработчике;
-
анализировать файл с использованием сервиса virustotal.
Цифровая подпись файла – это механизм, который позволяет определить степень доверия к тому или иному файлу. Цифровая подпись позволяет сопоставить файл и его разработчика. Проверив цифровую подпись мы можем сказать, что этот драйвер был подписан Microsoft, а этот — компанией HP, а третий – возможно никем, что автоматически отправляет его в зону риска.
Информация о разработчике также довольно ценна. Благодаря утилите, мы можем получить информацию о разработчиках драйверов. С этого набора исключить Microsoft, Adobe и т.п. корпорации и увидеть драйверы, которые с более высокой вероятностью, могут быть причиной синих экранов смерти или относится к зловредному коду.
Сервис virustotal.com выполняет простую функцию. Он позволяет загрузить любым пользователем любой файл и выполнить проверку этого файла несколькими десятками антивирусов. После чего он предоставит информацию о том, какие из антивирусов считают данный файл зловредным. Вот как это выглядит в действии:
Как видим на изображении, показатель выявления 0 / 48 (0 из 48), то есть, с высокой долей вероятности, файл безвреден.
Sigcheck выполняет проверку файлов с помощью сервиса virustotal, избавляя нас от этой рутины. Это особенно полезно когда файлов много.
С параметрами утилиты sigcheck можно ознакомиться здесь — https://technet.microsoft.com/en-us/sysinternals/bb897441. Давайте рассмотрим наиболее полезные варианты запуска.
sigcheck -u -e c:windowssystem32drivers — отобразит все драйверы в указанном каталоге, которые не имеют цифровой подписи и которые неизвестны virustotal или при проверке которых был обнаружен зловредный код.
Вот список таких файлов в моей системе
c:windowssystem32driversIntcDAud.sys:
Verified: Unsigned
Link date: 15:12 23.08.2011
Publisher: Intel(R) Corporation
Description: Intel(R) Display Audio Driver
Product: Intel(R) Display Audio
Prod version: 6.14.00.3086
File version: 6.14.00.3086 built by: WinDDK
MachineType: 64-bit
c:windowssystem32driversIntelMEFWVer.dll:
Verified: Unsigned
Link date: 21:25 04.05.2011
Publisher: n/a
Description: IntelMEFWVer Dynamic Link Library
Product: IntelMEFWVer Dynamic Link Library
Prod version: 7.1.13.1088
File version: 7.1.13.1088
MachineType: 32-bit
c:windowssystem32driversSETDD15.tmp:
Verified: Unsigned
Link date: 0:28 11.01.2012
Publisher: Intel Corporation
Description: Intel Graphics Kernel Mode Driver
Product: Intel Graphics Accelerator Drivers for Windows 7(R)
Prod version: 8.15.10.2622
File version: 8.15.10.2622
MachineType: 64-bit
Как видим, такие опции полезны при поиске вирусов или другого зловредного кода. Обратите внимание, что драйвера с отчета не имеют цифровой подписи.
При анализе причин BSOD нам может пригодится вот такой вариант запуска
sigcheck.exe -ct -vrs c:windowssystem32drivers > rep.txt
Файл rep.txt будет содержать информацию о всех драйверах из указанного каталога в формате, с которым можно работать в Excel. Вот пример отчета из моей системы.
В Excel мы можем отфильтровать файлы по наличию подписи и столбцу Publisher (издатель). Останутся те драйвера, которые могут относится к зоне риска.
