sigcheck读取签名文件的奇怪问题，求助各位大佬

沙漠斗鱼 · 发表于前天 19:12

本帖最后由沙漠斗鱼于 2025-7-28 19:17 编辑

各位大佬，用下面这个命令，在windows系统下，
"%~dp0bin\sigcheck64.exe" -accepteula -i -e -s  "c:\Windows\System32\DriverStore\FileRepository\*.*"  >"%~dp0catWINfile.txt"
就会得到
c:\windows\system32\driverstore\filerepository\1394.inf_amd64_a08737ea39f5790b\1394ohci.sys:
      Verified:       Signed
      Link date:       6:55 1935/10/3/??
      Signing date:       4:15 2020/9/7/??
      Catalog:       C:\Windows\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Desktop-Required-Package0110~31bf3856ad364e35~amd64~~10.0.19041.488.cat
      Signers:
这种内容的文件，其中Catalog:       C:\Windows\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Desktop-Require能得到C:\Windows\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Mic

但是在PE下运行这个命令
"%~dp0bin\sigcheck64.exe" -accepteula -i -e -s "X:\Windows\System32\DriverStore\FileRepository\*.*"  >"%~dp0catPEfile.txt"
得到的是

x:\windows\system32\driverstore\filerepository\3ware.inf_amd64_408ceed6ec8ab6cd\3ware.sys:
      Verified:       Signed
      Link date:       6:28 2015/5/19
      Signing date:       19:03 2025/7/28
      Catalog:       x:\windows\system32\driverstore\filerepository\3ware.inf_amd64_408ceed6ec8ab6cd\3ware.sys

      Signers:
         Microsoft Windows
            Cert Status:       Valid
            Valid Usage:       Lifetime Signing, Preview Build Signing, NT5 Crypto, Code Signing
            Cert Issuer:       Microsoft Development PCA 2014
            Serial Number:       33 00 00 06 E6 5A 10 D4 FA 64 1B 41 15 00 00 00 00 06 E6
            Thumbprint:       CA76BD7051E43A78AD45D94981181E36F107FE9E
            Algorithm:       sha256RSA
            Valid from:       5:16 2024/7/18

Catalog显示的内容是
Catalog:       x:\windows\system32\driverstore\filerepository\3ware.inf_amd64_408ceed6ec8ab6cd\3ware.sys
而不是Catalog:       C:\Windows\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Desktop-Required-Package0110~31bf3856ad364e35~amd64~~10.0.19041.488.cat
，请问是不是命令参数写错了？求助各位大佬

具体命令在下面链接，烦请各位大佬赐教
读取签名catroot批处理命令下载
https://www.123865.com/s/pTykjv-rwEAd

小灰兔 · 发表于昨天 06:43

感谢分享

martin313 · 发表于昨天 09:17

以下是DeepSeek的答复：

根据你描述的情况，这不是命令参数写错的问题，而是PE环境和完整Windows环境下的正常行为差异。

原因分析：
完整Windows系统下：
签名验证会使用系统全局的CatRoot目录中的.cat文件（如你看到的路径）
这是Windows正常工作的方式，所有驱动签名都集中管理

PE环境下：
PE通常没有完整的CatRoot目录结构
sigcheck会回退到检查驱动文件本身嵌入的签名（而不是.cat文件）
所以你会看到Catalog直接指向.sys文件本身

解决方案：
如果你想在PE中也能获取完整的.cat路径信息，需要确保：
PE环境中存在完整的CatRoot目录结构
或者将完整系统中的CatRoot目录复制到PE中相同路径
不过需要注意的是，PE环境下这种差异是预期行为，不是错误。如果你只是需要验证签名有效性，当前结果已经足够；如果确实需要.cat路径信息，则需要按上述方法处理环境。

命令参数本身没有问题，这是环境差异导致的正常现象。

martin313 · 发表于昨天 10:47

用批处理+PS1，也一样可以获取指定的cat文件

guong · 发表于昨天 12:34

进来了解一下

		自动登录	找回密码
密码			注册