sigcheck读取签名文件的奇怪问题，求助各位大佬

沙漠斗鱼

各位大佬，用下面这个命令，在windows系统下，
"%~dp0bin\sigcheck64.exe" -accepteula -i -e -s  "c:\Windows\System32\DriverStore\FileRepository\*.*"  >"%~dp0catWINfile.txt"
就会得到
c:\windows\system32\driverstore\filerepository\1394.inf_amd64_a08737ea39f5790b\1394ohci.sys:
        Verified:        Signed
        Link date:        6:55 1935/10/3/??
        Signing date:        4:15 2020/9/7/??
        Catalog:        C:\Windows\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Desktop-Required-Package0110~31bf3856ad364e35~amd64~~10.0.19041.488.cat
        Signers:
这种内容的文件，其中Catalog:        C:\Windows\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Desktop-Require能得到C:\Windows\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Mic

但是在PE下运行这个命令
"%~dp0bin\sigcheck64.exe" -accepteula -i -e -s "X:\Windows\System32\DriverStore\FileRepository\*.*"  >"%~dp0catPEfile.txt"
得到的是

x:\windows\system32\driverstore\filerepository\3ware.inf_amd64_408ceed6ec8ab6cd\3ware.sys:
        Verified:        Signed
        Link date:        6:28 2015/5/19
        Signing date:        19:03 2025/7/28
        Catalog:        x:\windows\system32\driverstore\filerepository\3ware.inf_amd64_408ceed6ec8ab6cd\3ware.sys

        Signers:
           Microsoft Windows
                Cert Status:        Valid
                Valid Usage:        Lifetime Signing, Preview Build Signing, NT5 Crypto, Code Signing
                Cert Issuer:        Microsoft Development PCA 2014
                Serial Number:        33 00 00 06 E6 5A 10 D4 FA 64 1B 41 15 00 00 00 00 06 E6
                Thumbprint:        CA76BD7051E43A78AD45D94981181E36F107FE9E
                Algorithm:        sha256RSA
                Valid from:        5:16 2024/7/18

Catalog显示的内容是
Catalog:        x:\windows\system32\driverstore\filerepository\3ware.inf_amd64_408ceed6ec8ab6cd\3ware.sys
而不是Catalog:        C:\Windows\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Desktop-Required-Package0110~31bf3856ad364e35~amd64~~10.0.19041.488.cat
，请问是不是命令参数写错了？求助各位大佬


具体命令在下面链接，烦请各位大佬赐教
读取签名catroot批处理命令下载
https://www.123865.com/s/pTykjv-rwEAd


        

小灰兔

感谢分享

martin313

以下是DeepSeek的答复：

根据你描述的情况，这不是命令参数写错的问题，而是PE环境和完整Windows环境下的正常行为差异。

原因分析：
完整Windows系统下：
签名验证会使用系统全局的CatRoot目录中的.cat文件（如你看到的路径）
这是Windows正常工作的方式，所有驱动签名都集中管理

PE环境下：
PE通常没有完整的CatRoot目录结构
sigcheck会回退到检查驱动文件本身嵌入的签名（而不是.cat文件）
所以你会看到Catalog直接指向.sys文件本身

解决方案：
如果你想在PE中也能获取完整的.cat路径信息，需要确保：
PE环境中存在完整的CatRoot目录结构
或者将完整系统中的CatRoot目录复制到PE中相同路径
不过需要注意的是，PE环境下这种差异是预期行为，不是错误。如果你只是需要验证签名有效性，当前结果已经足够；如果确实需要.cat路径信息，则需要按上述方法处理环境。

命令参数本身没有问题，这是环境差异导致的正常现象。

martin313

用批处理+PS1，也一样可以获取指定的cat文件

guong

进来了解一下