Я знаю, что руткиты работают как часть ядра, драйвера или службы, работающей в системе, внедряются в DLL или устанавливаются как легитимные приложения.
Если бы я сканировал систему с помощью sigverif.exe , были ли поврежденные подписи файлы, введенные с помощью руткита?
Навряд ли. Большинство руткитов прячутся, чтобы при любом доступе со стандартными API Win32 отображался оригинальный файл (если он был исправлен) и игнорировались любые дополнительные файлы / сервисы, добавленные руткитом.
Кроме того, sigverif проверяет только те файлы, которые он знает для подписи - любые дополнительные файлы будут просто игнорироваться.
RootkitRevealer - более надежный инструмент. Некоторые действительно неприятные руткиты видны только при сравнении онлайн и офлайн сканирования (например, из самой Windows и с компакт-диска Linux).
