Я знаю, что руткиты работают как часть ядра, драйвера или службы, запущенной в системе, внедряясь в библиотеки DLL или устанавливаясь как легитимные приложения.
Если бы я просканировал систему с помощью sigverif.exe
, были бы файлы, внедренные руткитом, имели сломанные подписи?
решение1
Маловероятно. Большинство руткитов скрывают себя, так что любой доступ с помощью стандартных API Win32 будет отображать исходный файл (если он был исправлен) и игнорировать любые дополнительные файлы/службы, добавленные руткитом.
Кроме того, sigverif проверяет только файлы, которые онзнает, что должен быть подписан- любойдополнительныйфайлы будут просто игнорироваться.
RootkitRevealerболее надежный инструмент. Некоторые действительно опасные руткиты видны только при сравнении онлайн- и офлайн-сканирования (например, из самой Windows и с Linux CD).