可通过任务管理器、PowerShell、Sigcheck、文件属性及事件查看器五种方法验证Windows 11启动项数字签名:一查发布者,二用Get-AuthenticodeSignature看Status,三用sigcheck64.exe检时间戳,四通过属性→数字签名→证书路径确认根证书,五在事件查看器筛选ID5059/5061/5063定位失败原因。
如果您在Windows 11中发现某个开机启动项行为异常、占用资源过高或来源不明,需确认其是否经过微软可信签名验证,则可能因签名缺失、过期或伪造导致系统安全机制无法识别。以下是验证启动项数字签名的具体操作步骤:
一、通过任务管理器查看启动项发布者与签名状态
任务管理器提供基础签名信息入口,可快速识别启动项是否由可信实体签发,避免直接运行未验证二进制文件。
1、按 Ctrl + Shift + Esc 打开任务管理器。
2、点击顶部选项卡中的“启动”,进入启动应用列表。
3、右键表头空白处,勾选“发布者”列以显示签名归属信息。
4、观察每一项的“发布者”字段:若显示“Microsoft Corporation”、已知软件厂商(如“Adobe Inc.”、“Google LLC”)或空值/“未知发布者”,即为关键判断依据。
5、对“发布者”为“未知发布者”或“(未验证)”的项目,右键选择“打开文件所在位置”,记录其完整路径用于后续深度验证。
二、使用PowerShell命令行验证启动项文件签名完整性
PowerShell调用Get-AuthenticodeSignature可读取PE文件嵌入的 Authenticode 签名证书链,判断是否由受信任根证书颁发机构签署且未被篡改。
1、以管理员身份运行 PowerShell(右键开始按钮 → “Windows PowerShell(管理员)”)。
2、输入命令:Get-AuthenticodeSignature -FilePath "C:\Program Files\ExampleApp\launcher.exe",将引号内路径替换为上一步获取的实际启动项可执行文件路径。
3、检查返回结果中“Status”字段值:若为“Valid”,表示签名有效且证书链完整;若为“NotSigned”,说明该文件无任何数字签名;若为“UnknownError”或“Revoked”,则签名已被吊销或存在校验失败。
4、若Status为Valid,继续查看“SignerCertificate.Subject”内容,确认颁发对象是否与软件官方名称一致(例如“CN=Zoom Video Communications, Inc.”)。
三、借助Sigcheck工具进行深度签名与时间戳验证
Sysinternals Sigcheck是微软官方提供的轻量级命令行工具,可检测签名有效性、时间戳服务器响应、证书有效期及交叉签名状态,适用于排查因证书过期或时间戳失效引发的验证失败。
1、访问微软官网下载Sysinternals Suite压缩包,解压后定位到sigcheck64.exe文件。
2、以管理员身份运行终端,切换至sigcheck所在目录,执行:sigcheck64.exe -a -u "C:\Program Files\ExampleApp\launcher.exe"(-a显示全部签名信息,-u跳过用户交互提示)。
3、重点核查输出中“Verified:”行:若显示“Signed”且无红色警告,表示签名通过基础校验;若显示“Unsigned”或“Expired”,则文件不可信。
4、检查“Timestamp”字段:若值为“None”,说明签名未绑定可信时间戳,Windows可能拒绝加载(尤其在证书已过期时);若存在时间戳且早于当前日期,则签名仍被视为有效。
四、通过文件属性对话框手动检查数字签名详情
图形化界面可直观查看签名证书颁发者、有效期、证书路径及签名算法,适合非技术用户快速比对关键信息。
1、在文件资源管理器中,导航至启动项对应可执行文件位置(如上一步所记录路径)。
2、右键该.exe 或 .dll 文件,选择“属性”。
3、切换至“数字签名”选项卡:若列表为空,说明该文件未签名;若存在条目,点击选中后点击“详细信息”按钮。
4、在弹出窗口中点击“查看证书”,核对证书窗口中“使用者”字段是否与软件厂商名称一致,并确认“有效期至”未过期。
5、切换至证书窗口的“证书路径”选项卡,查看证书链顶端是否为“Microsoft Root Certificate Authority”或其它Windows内置受信任根证书。
五、利用Windows事件查看器捕获签名验证失败日志
当系统阻止未签名启动项加载时,会记录相关安全事件,通过事件ID可准确定位签名校验失败原因及触发模块。
1、按Win + R打开运行框,输入eventvwr.msc并回车,打开事件查看器。
2、在左侧导航树中,依次展开“Windows 日志” → “安全”。
3、在右侧操作面板点击“筛选当前日志…”,在“事件ID”栏输入:5059, 5061, 5063(分别对应驱动签名验证失败、代码完整性策略拒绝、内核模式签名检查失败)。
4、点击“确定”后,查看筛选出的事件,双击任一事件,在“详细信息”选项卡中查找“Subject: Security ID”与“Object Name”字段,确认被拦截文件的完整路径及进程上下文。
5、若事件描述中出现“The signature is invalid”或“The certificate has expired”,即可明确签名问题类型。
