- Sigcheck verifica firmas, cadenas de certificados y reputación en VirusTotal con precisión.
- Permite inventario masivo con CSV/TSV y consultas offline a partir de hashes previos.
- Explora almacenes de certificados (-t, -tu, -tv) con soporte de raíces de Microsoft.
- Complementa con PowerShell, Certutil y herramientas GUI para validar integridad.
Dominar cómo verificar la identidad, firma y reputación de archivos en Windows te ahorra horas de dudas cuando algo no te cuadra. Con Sigcheck, la utilidad de Sysinternals, puedes inspeccionar versión, marcas de tiempo, cadenas de certificados y consultar VirusTotal desde la consola con precisión quirúrgica.
Más allá de lo purista, se trata de prevención real: localizar binarios sin firmar en rutas críticas como C:\Windows\System32, contrastar hashes con decenas de motores antivirus, exportar a CSV/TSV y trabajar incluso en entornos sin conexión. Es una pieza clave para auditoría, hardening y respuesta a incidentes, ligera y portable.
Qué es Sigcheck y por qué importa
Sigcheck es una utilidad de línea de comandos creada por Mark Russinovich dentro de la suite Sysinternals. Muestra el número de versión, la marca de tiempo del archivo y los detalles de la firma digital, incluyendo la cadena completa de certificados. Además, integra una consulta al servicio VirusTotal para contrastar el hash del archivo contra múltiples motores antivirus, con opción para subir muestras no analizadas.
Su uso típico es doble: inventariar y detectar ejecutables sin firma o con firmas no confiables, y realizar triage de seguridad verificando detecciones en VirusTotal. En ubicaciones legítimas como \System32, cualquier archivo no firmado merece revisión. Que no esté firmado no lo convierte en malicioso, pero eleva el nivel de sospecha y exige validar procedencia y hash.
Sigcheck es portable (sin instalador): descargas el ZIP oficial, lo extraes y ejecutas el binario. Para rematar, permite salidas CSV y TSV que facilitan análisis offline, compartición de resultados y automatización de flujos en equipos y auditorías.
En el ecosistema Sysinternals, Sigcheck encaja como herramienta ligera y precisa junto a Autoruns, Process Explorer, TCPView/Tcpvcon o PsTools. La utilidad apareció públicamente hace años (el anuncio histórico de Sigcheck v1.0 se remonta a 2005) y se ha ido puliendo con mejoras continuas.
Descarga, tamaño y compatibilidad
Las referencias más citadas hablan de la revisión v2.82 y de una publicación del 19 de julio de 2022 donde se describe su uso. El paquete oficial ronda los 664 KB comprimidos. La descarga se realiza desde el sitio de Sysinternals/Microsoft y se ejecuta sin instalación.
Sobre compatibilidad verás dos líneas habituales. Una indica que funciona en Cliente: Windows 8.1 y posteriores; Servidor: Windows Server 2012 y posteriores; Nano Server: 2016 y posteriores. Otra amplía el rango a Cliente: Windows Vista y superior; Servidor: Windows Server 2008 y superior. En la práctica, en versiones modernas de Windows no tendrás problemas.
Instalación desatendida con PowerShell en tu carpeta actual: descarga y extrae con estos comandos para tenerlo listo en segundos y verificar que responde la ayuda con -? antes de analizar:
Invoke-WebRequest -Uri https://download.sysinternals.com/files/Sigcheck.zip -OutFile Sigcheck.zipExpand-Archive -Path .\Sigcheck.zip -DestinationPath .\sigcheck.exe -?
Si lo prefieres, puedes integrar Sigcheck en tu kit de administración portátil. Al ser una herramienta autónoma, encaja de maravilla en scripts de inventario y en flujos de respuesta ante incidentes en los que no se puede desplegar software pesado.
Sintaxis base y modos de ejecución
La herramienta ofrece varias llamadas dependiendo de si inspeccionas archivos/directorios, vuelcas catálogos, procesas CSVs para uso offline o exploras almacenes de certificados. Conviene memorizar la forma general para moverte con soltura.
sigcheck [-a][-h][-i][-e][-l][-n][[-s]|[-c|-ct]|[-m]][-q][-r][-u][-vt][-v[r][s]][-f catalog_file] file_or_directory
sigcheck -d [-c|-ct] file_or_directory
sigcheck -o [-vt][-v[r]] sigcheck_csv_file
sigcheck -t[u][v] [-i] [-c|-ct] <certificate_store_name | *>
En algunos listados verás el modificador -q dentro de la sintaxis aunque no se documente su descripción. El resto de parámetros están bien cubiertos y permiten ajustar el nivel de detalle, el formato de salida y las consultas a VirusTotal.
Parámetros clave, uno a uno
Antes de lanzarte a escanear, ten a mano esta relación. Te ayudará a adaptar la herramienta al detalle que necesite cada caso sin repetir pasadas.
| Parámetro | Qué hace |
|---|---|
| -a | Muestra información de versión extendida e incluye la entropía (bits/byte) del contenido para detectar posibles ofuscaciones. |
| -accepteula | Acepta silenciosamente el EULA de Sigcheck, evitando prompts interactivos en la primera ejecución. |
| -c | Salida CSV con coma como delimitador. |
| -ct | Salida CSV con tabulador como delimitador (ideal para TSV). |
| -d | Vuelca el contenido de un archivo de catálogo (.cat). |
| -e | Limita el análisis a imágenes ejecutables, ignorando la extensión. |
| -f | Busca una firma dentro del catálogo indicado. |
| -h | Muestra los hashes del archivo (MD5/SHA*, etc.). |
| -i | Incluye el nombre del catálogo y la cadena de firma. |
| -l | Recorre enlaces simbólicos y uniones de directorios. |
| -m | Vuelca el manifiesto embebido. |
| -n | Muestra únicamente el número de versión. |
| -nobanner | Oculta el banner de inicio y el copyright, útil para scripts silenciosos. |
| -o | Consulta VirusTotal usando hashes capturados en un CSV/TSV previamente generado con -h; orientado a análisis offline. |
| -p | Verifica firmas contra una política específica (GUID), común en entornos corporativos. |
| -r | Deshabilita la comprobación de revocación de certificados (úsalo con criterio). |
| -s | Recorre subdirectorios de forma recursiva. |
| -t[u][v] | Vuelca el contenido de un almacén de certificados (usa * para todos). Con -tu consultas el almacén de usuario; con -tv descarga la lista de raíces de confianza de Microsoft y filtra para mostrar solo certificados válidos no enraizados en ella. Si no hay acceso, usa authrootstl.cab o authroot.stl del directorio actual si existen. |
| -u | Sin VT activo: lista solo los no firmados. Con VT: muestra archivos desconocidos o con detección > 0. |
| -v[rs] | Consulta VirusTotal por hash; añade r para abrir informes con detecciones y s para subir muestras no analizadas (los resultados pueden tardar cinco minutos o más). |
| -vt | Marca la aceptación de los Términos de VirusTotal; si no lo incluyes y no los has aceptado, aparecerá un prompt. |
Ejemplos prácticos que despejan dudas
Comprobar si hay ejecutables sin firma en System32 es un clásico para obtener una lista accionable rápidamente y centrar la revisión donde importa:
sigcheck -u -e C:\Windows\System32
Inventario masivo con hashes y salida TSV por tabulaciones, recorriendo subcarpetas, listo para parsear o cargar en una hoja de cálculo:
sigcheck -h -ct -s C:\Windows\System32 > resultados.tsv
Consulta offline a VirusTotal a partir de un CSV/TSV generado previamente con -h; acepta TOS y abre informes de positivos automáticamente para ir al grano:
sigcheck -vr -o -vt resultados.tsv
Volcado del almacén de certificados de la máquina con filtrado por raíces de Microsoft y detalle de cadena de firma para depurar confianza:
sigcheck -tv -i -ct *
Catálogos: volcar contenido y buscar firmas dentro de rutas de sistema cuando investigas drivers y componentes críticos con catálogos .cat:
sigcheck -d -ct C:\Windows\System32\CatRoot\*.catsigcheck -f C:\Windows\System32\CatRoot\loquesea.cat
Recorrer simbólicos y subdirectorios, limitando a ejecutables, generando CSV por comas con hashes para un inventario de aplicaciones en otra unidad:
sigcheck -l -s -e -h -c D:\Apps > inventario_apps.csv
VirusTotal desde la consola: términos, subida y filtros
Sigcheck interroga a VirusTotal por hash de archivo. Es obligatorio aceptar sus términos de servicio al menos una vez; para eso sirve -vt. Si lo omites y aún no los has aceptado, aparecerá un diálogo interactivo.
El modificador -v activa la consulta; añadir r abre informes web cuando hay alertas y s sube muestras desconocidas. Si subes un fichero nuevo, los resultados pueden tardar cinco minutos o más en estar disponibles, así que paciencia.
Flujo típico en triage: acepta TOS con -vt, lanza un -vrs sobre archivos concretos para abrir automáticamente los informes con detección, y usa -u junto a -s y -v para listar en un árbol lo que realmente requiere revisión.
Para lotes grandes, la estrategia ideal es separar captura de hashes y consulta. Primero generas CSV/TSV con -h y -c/-ct; después usas -o sobre ese archivo para resolver reputación cuando tengas conectividad.
Certificados, almacenes y cadenas de confianza
Además de archivos, Sigcheck puede analizar almacenes de certificados. Con -t apuntas a uno por nombre o a todos usando *. El modificador -tu cambia el contexto al almacén de usuario (por defecto usa el de máquina) y -tv se apoya en la lista de raíces de confianza de Microsoft para filtrar certificados válidos no enraizados en ella.
Si el equipo no tiene Internet, Sigcheck intentará usar authrootstl.cab o authroot.stl del directorio actual, si están presentes. Este detalle es oro molido en redes aisladas, laboratorios y contextos forenses.
Incluir -i en estas llamadas añade el nombre del catálogo y la cadena de firmas, lo que facilita validar anclas de confianza y detectar certificados problemáticos.
Recuerda que deshabilitar la revocación con -r debe hacerse con cabeza: acelera análisis en entornos con PKI inestable, pero puede ocultar revocaciones reales.
Escenarios forenses: imágenes montadas y catálogos
Cuando analizas imágenes de equipos comprometidos, conviene importar el catálogo de firmas del sistema original al host de análisis para maximizar validaciones. Sin ese contexto, muchas firmas podrían no verificarse adecuadamente.
Un procedimiento práctico es copiar desde la imagen las carpetas del servicio criptográfico, por ejemplo C:\Windows\System32\CatRoot\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}, renombrar el GUID para evitar conflictos, colocarlas en la ruta equivalente del equipo de análisis y reiniciar el servicio Cryptographic Services desde services.msc.
Después, ejecuta Sigcheck contra la imagen montada o los directorios extraídos. Para casos concretos, apóyate en -d (volcado de catálogos) y -f (búsqueda de firmas en un catálogo específico), especialmente útil con drivers y componentes del sistema.
En cadenas de custodia, exportar a CSV/TSV, firmar los resultados y conservarlos junto a la evidencia ayuda a mantener la trazabilidad del análisis y a defender decisiones técnicas ante auditorías.
Otras vías para verificar integridad: hashes y firmas
Cuando el proveedor publica un valor oficial, comparar el hash criptográfico del archivo descargado es la forma más directa de validar autenticidad e integridad. En Windows puedes hacerlo sin instalar nada mediante PowerShell y Certutil.
PowerShell (SHA-256 por defecto recomendado):
Get-FileHash C:\Ruta\archivo.ext -Algorithm SHA256
Certutil, muy útil para scripts y verificación por lotes, alineando el algoritmo con el que publique el fabricante:
certutil -hashfile C:\Ruta\archivo.ext SHA256
Si usas 7-Zip, el menú contextual CRC SHA permite obtener rápidamente SHA-256 o SHA-1; siempre que se pueda, prioriza SHA-256 frente a SHA-1 y MD5 por seguridad.
En GNU/Linux cuentas con cksum (CRC32) y con las utilidades sha* para verificación robusta. Comandos básicos para terminal:
cksum archivomd5sum archivosha256sum archivo
Cuando tu descarga incluye un archivo .sig (OpenPGP), la verificación se hace con GnuPG para confirmar la autoría del mantenedor y la integridad del paquete:
gpg --verify paquete.tar.zst.sig paquete.tar.zst
Si la firma es válida y la clave es de confianza, el contenido no ha sido manipulado. Sistemas como pacman en Arch automatizan este proceso, pero manualmente es igual de fiable.
HashCheck e ideas para el día a día
Si prefieres una integración visual, HashCheck añade una pestaña «Checksum» a las propiedades de archivo y permite guardar y comprobar listas en formatos .sfv, .md4, .md5 o .sha1. Generas el listado, vuelves más tarde y verás en rojo lo que haya cambiado.
Otras herramientas gráficas útiles: QuickHash (multiplataforma, soporta MD5, SHA-1/2/3, xxHash, BLAKE2/3), HashMyFiles (portable en Windows), MultiHasher o MD5 & SHA Checksum Utility. Todas facilitan generar y comparar hashes por lotes.
Más opciones clásicas incluyen HashCalc, MD5 Hash Check, Hasher Lite, DeadHash, Hash Generator, FCIV o Checksum Control. Elige en función de si necesitas velocidad, compatibilidad o capacidades de exportación.
Consejos, buenas prácticas y notas de uso
Para auditorías grandes, redirige la salida a CSV/TSV y compártela con el equipo. Esta fórmula aporta trazabilidad y consistencia en el análisis, además de facilitar su ingestión por SIEM u hojas de cálculo.
Combina capas: -a (entropía) para detectar empaquetadores, -h (hashes) para huellas únicas y -v (VirusTotal) para reputación. Esta suma reduce falsos positivos y acelera decisiones.
No olvides -vt la primera vez que uses funciones de VT. Si no hay Internet, prepara en el directorio actual los ficheros authrootstl.cab/authroot.stl para validar raíces con -tv.
Un comando muy usado por administradores para triage inmediato es: sigcheck.exe -u -e -vt C:\Windows\System32. Investiga el propósito de cualquier archivo sin firmar antes de permitir su ejecución.
Otros flags prácticos: -nobanner para scripts silenciosos; -p para políticas de firma por GUID en entornos corporativos; -r cuando la PKI de la red esté dando guerra (sabiendo que desactiva la revocación).
Para dudas o aportes en documentación traducida, verás referencias a comunidades y foros oficiales de Sysinternals con actividad diaria donde otros usuarios responden preguntas y comparten casos reales. Algunas traducciones incluso indican canales de contacto para reportar erratas.
Integrar Sigcheck en tus flujos te da control sobre la integridad y la identidad de lo que se ejecuta en Windows, con salidas estructuradas, soporte de VirusTotal, exploración de almacenes de certificados y utilidades anexas (PowerShell, Certutil, 7-Zip, HashCheck). Con un par de comandos bien escogidos, pasas de la sospecha a la evidencia accionable sin perder tiempo.