Ich weiß, dass Rootkits als Teil des Kernels, Treibers oder Dienstes agieren, der auf dem System ausgeführt wird, sich in DLLs einschleust oder als legitime Anwendungen installiert werden.
Wenn ich das System mit scannen würde sigverif.exe
, hätten die mit dem Rootkit eingeschleusten Dateien dann beschädigte Signaturen?
Antwort1
Unwahrscheinlich. Die meisten Rootkits verbergen sich, sodass bei jedem Zugriff mit den standardmäßigen Win32-APIs die Originaldatei angezeigt wird (sofern sie gepatcht wurde) und alle vom Rootkit hinzugefügten zusätzlichen Dateien/Dienste ignoriert werden.
Außerdem überprüft sigverif nur Dateien, dieweiß, unterschrieben zu sein- beliebigzusätzlichDateien würden einfach ignoriert.
RootkitRevealerist ein zuverlässigeres Tool. Einige wirklich bösartige Rootkits sind nur sichtbar, wenn ein Online- und ein Offline-Scan verglichen werden (z. B. von Windows selbst und von einer Linux-CD).