一、certutil简介

certutil 是微软Windows系统中的一个命令行工具，主要负责证书的相关管理和安全操作。它的功能多样，包括：

1. 查看和管理证书存储：能够浏览、添加、删除计算机或用户证书存储中的证书。
2. 编码和解码数据：支持Base64、Hex、ASCII等多种格式的编码和解码操作，这对于处理证书、证书撤销列表(CRL)等安全数据非常有帮助。
3. 计算哈希值：可用来计算文件或文本的MD5、SHA1、SHA256等类型的哈希值，适用于验证数据完整性。
4. 密钥容器的维护：包括备份、恢复、删除密钥容器等操作。
5. 管理信任证书列表：可以查看和调整证书的信任状态。
6. CTL（证书信任列表）和CRL（证书撤销列表）管理：能够查看、下载并验证CTL和CRL。
7. 生成密钥对：能够生成公钥和私钥对，适用于加密通信等场景。

在网络安全和数字取证领域，certutil也是一个重要的工具，但它偶尔也会被恶意软件利用来进行隐藏操作，比如下载和执行恶意代码。因此，正确并安全地使用certutil很关键。

二、certutil取证

Certutil 是 Windows 操作系统中的一个命令行工具，用于执行各种与证书和证书服务相关的操作。要计算文件的哈希值，可以使用 certutil 命令，并指定 -hashfile 参数。下面是详细的命令：

certutil -hashfile 文件路径 哈希算法

其中：

• 文件路径 是要计算哈希值的文件的路径。
• 哈希算法 是要使用的哈希算法，可以是以下之一：MD2MD4MD5SHA1SHA256SHA384SHA512

例如，要计算文件 "example.txt" 的 SHA256 哈希值，可以使用以下命令：执行此命令后，将输出文件的 SHA256 哈希值。

certutil -hashfile example.txt SHA256

三、其他命令

1.查看当前用户个人证书存储中的所有证书：

说明：列出当前用户个人证书存储中的所有证书。

样例：certutil -store -user my

2.查看特定证书详细信息：

说明：显示特定证书的详细信息。

样例：certutil -dump 3F 5A 12 42 ...

3.从文件导出证书到证书存储：

说明：从文件导入证书到指定的证书存储区。

样例：certutil -f -p "password" -importPFX "C:\path\to\cert.pfx" -user my

4.计算文件的SHA256哈希值：

说明：计算文件的SHA256哈希值。

样例：certutil -hashfile "C:\path\to\file.txt" SHA256

5.编码文件为Base64格式：

说明：将文件编码为Base64格式。

样例：certutil -encode "C:\path\to\file.txt" "C:\path\to\encodedfile.txt"

6.解码Base64格式的文件：

说明：将Base64编码的文件解码为原始文件。

样例：certutil -decode "C:\path\to\encodedfile.txt" "C:\path\to\decodedfile.txt"

7.生成自签名证书：

说明：生成自签名证书。

样例：certutil -generateSSTFromWU "C:\path\to\certificate.sst" "RootCATemplate"

8.导出证书为PEM格式：

说明：将证书导出为PEM格式。

样例：certutil -encode "C:\path\to\certificate.cer" "C:\path\to\certificate.pem"