ルートキットは、システム上で実行されているカーネル、ドライバー、またはサービスの一部として動作し、DLL に自身を挿入したり、正当なアプリケーションとしてインストールされることがわかっています。
でシステムをスキャンした場合sigverif.exe、ルートキットが挿入されたファイルの署名は壊れているでしょうか?
答え1
あり得ません。ほとんどのルートキットは、標準の Win32 API によるアクセスでは元のファイル (パッチが適用されている場合) が表示され、ルートキットによって追加された余分なファイルやサービスは無視されるように、自身を隠します。
また、sigverifは、署名されていることを知っている- どれでも追加ファイルは単に無視されます。
ルートキットリビールはより信頼性の高いツールです。非常に厄介なルートキットは、オンライン スキャンとオフライン スキャン (たとえば、Windows 自体と Linux CD からのスキャン) を比較した場合にのみ表示されます。