Sé que los rootkits funcionan como parte del kernel, controlador o servicio que se ejecuta en el sistema, inyectándose en archivos DLL o instalándose como aplicaciones legítimas.
Si tuviera que escanear el sistema con sigverif.exe
, ¿los archivos inyectados con el rootkit tendrían firmas rotas?
Respuesta1
Improbable. La mayoría de los rootkits se ocultan para que cualquier acceso con las API estándar de Win32 muestre el archivo original (si fue parcheado) e ignore cualquier archivo/servicio adicional agregado por el rootkit.
Además, sigverif sólo verifica los archivossabe estar firmado- cualquieradicionallos archivos simplemente serían ignorados.
Revelador de rootkitses una herramienta más confiable. Algunos rootkits realmente desagradables sólo son visibles al comparar análisis en línea y fuera de línea (por ejemplo, desde el propio Windows y desde un CD de Linux).