设为首页收藏本站
开启辅助访问 切换到宽版

无忧启动论坛

 找回密码
 注册
搜索
无忧启动论坛»论坛 ::启动制作:: PE讨论区 sigcheck读取签名文件的奇怪问题,求助各位大佬
系统gho:最纯净好用系统下载站投放广告、加入VIP会员,请联系 微信:wuyouceo
返回列表 发新帖
查看: 388|回复: 4
打印 上一主题 下一主题

sigcheck读取签名文件的奇怪问题,求助各位大佬

[复制链接]
跳转到指定楼层
1#
发表于 前天 19:12 | 只看该作者 |只看大图 回帖奖励 |倒序浏览 |阅读模式
加入VIP会员,获无忧币,赠积分,送勋章,下载无限制,获论坛最高级会员权限 !
本帖最后由 沙漠斗鱼 于 2025-7-28 19:17 编辑

各位大佬,用下面这个命令,在windows系统下,
"%~dp0bin\sigcheck64.exe" -accepteula -i -e -s  "c:\Windows\System32\DriverStore\FileRepository\*.*"  >"%~dp0catWINfile.txt"
就会得到
c:\windows\system32\driverstore\filerepository\1394.inf_amd64_a08737ea39f5790b\1394ohci.sys:
        Verified:        Signed
        Link date:        6:55 1935/10/3/??
        Signing date:        4:15 2020/9/7/??
        Catalog:        C:\Windows\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Desktop-Required-Package0110~31bf3856ad364e35~amd64~~10.0.19041.488.cat
        Signers:
这种内容的文件,其中Catalog:        C:\Windows\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Desktop-Require能得到C:\Windows\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Mic

但是在PE下运行这个命令
"%~dp0bin\sigcheck64.exe" -accepteula -i -e -s "X:\Windows\System32\DriverStore\FileRepository\*.*"  >"%~dp0catPEfile.txt"
得到的是

x:\windows\system32\driverstore\filerepository\3ware.inf_amd64_408ceed6ec8ab6cd\3ware.sys:
        Verified:        Signed
        Link date:        6:28 2015/5/19
        Signing date:        19:03 2025/7/28
        Catalog:        x:\windows\system32\driverstore\filerepository\3ware.inf_amd64_408ceed6ec8ab6cd\3ware.sys

        Signers:
           Microsoft Windows
                Cert Status:        Valid
                Valid Usage:        Lifetime Signing, Preview Build Signing, NT5 Crypto, Code Signing
                Cert Issuer:        Microsoft Development PCA 2014
                Serial Number:        33 00 00 06 E6 5A 10 D4 FA 64 1B 41 15 00 00 00 00 06 E6
                Thumbprint:        CA76BD7051E43A78AD45D94981181E36F107FE9E
                Algorithm:        sha256RSA
                Valid from:        5:16 2024/7/18

Catalog显示的内容是
Catalog:        x:\windows\system32\driverstore\filerepository\3ware.inf_amd64_408ceed6ec8ab6cd\3ware.sys
而不是Catalog:        C:\Windows\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Desktop-Required-Package0110~31bf3856ad364e35~amd64~~10.0.19041.488.cat
,请问是不是命令参数写错了?求助各位大佬


具体命令在下面链接,烦请各位大佬赐教
读取签名catroot批处理命令下载
https://www.123865.com/s/pTykjv-rwEAd


        


本主题由 kuer 于 前天 19:51 移动
回复

使用道具 举报

2#
发表于 昨天 06:43 | 只看该作者
感谢分享
回复

使用道具 举报

3#
发表于 昨天 09:17 | 只看该作者

以下是DeepSeek的答复:

根据你描述的情况,这不是命令参数写错的问题,而是PE环境和完整Windows环境下的正常行为差异。

原因分析:
完整Windows系统下:
签名验证会使用系统全局的CatRoot目录中的.cat文件(如你看到的路径)
这是Windows正常工作的方式,所有驱动签名都集中管理

PE环境下:
PE通常没有完整的CatRoot目录结构
sigcheck会回退到检查驱动文件本身嵌入的签名(而不是.cat文件)
所以你会看到Catalog直接指向.sys文件本身

解决方案:
如果你想在PE中也能获取完整的.cat路径信息,需要确保:
PE环境中存在完整的CatRoot目录结构
或者将完整系统中的CatRoot目录复制到PE中相同路径
不过需要注意的是,PE环境下这种差异是预期行为,不是错误。如果你只是需要验证签名有效性,当前结果已经足够;如果确实需要.cat路径信息,则需要按上述方法处理环境。

命令参数本身没有问题,这是环境差异导致的正常现象。
回复

使用道具 举报

4#
发表于 昨天 10:47 | 只看该作者
用批处理+PS1,也一样可以获取指定的cat文件

图片20250729104553.png (27.08 KB, 下载次数: 2)

图片20250729104553.png
回复

使用道具 举报

guong
5#
发表于 昨天 12:34 | 只看该作者
进来了解一下
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|捐助支持|无忧启动 ( 闽ICP备05002490号-1 )

闽公网安备 35020302032614号

GMT+8, 2025-7-30 06:37

Powered by Discuz! X3.3

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表