我知道 rootkit 作為系統上運行的核心、驅動程式或服務的一部分運行,將自身註入 DLL 或作為合法應用程式安裝。
如果我使用 掃描系統sigverif.exe,注入 Rootkit 的檔案是否會損壞簽章?
答案1
不太可能。大多數 Rootkit 都會隱藏自身,以便使用標準 Win32 API 進行的任何存取都會顯示原始檔案(如果已修補)並忽略 Rootkit 新增的任何額外檔案/服務。
另外,sigverif 僅驗證文件知道要簽名- 任何額外的文件將被簡單地忽略。
Rootkit揭露者是一個更可靠的工具。一些真正令人討厭的 rootkit 僅在比較線上和離線掃描時才可見(例如,來自 Windows 本身和 Linux CD)。