Eu sei que os rootkits operam como parte do kernel, driver ou serviço em execução no sistema, injetando-se em DLLs ou instalando-se como aplicativos legítimos.
Se eu fizesse uma varredura no sistema com sigverif.exe, os arquivos injetados com o rootkit teriam assinaturas quebradas?
Responder1
Improvável. A maioria dos rootkits se esconde para que qualquer acesso com as APIs Win32 padrão exiba o arquivo original (se tiver sido corrigido) e ignore quaisquer arquivos/serviços extras adicionados pelo rootkit.
Além disso, o sigverif verifica apenas os arquivossabe ser assinado- qualqueradicionalos arquivos seriam simplesmente ignorados.
Revelador de Rootkité uma ferramenta mais confiável. Alguns rootkits realmente desagradáveis só são visíveis quando comparamos verificações online e offline (por exemplo, do próprio Windows e de um CD do Linux).