我知道 rootkit 作为系统上运行的内核、驱动程序或服务的一部分运行,将其自身注入 DLL 或作为合法应用程序安装。
如果我使用 扫描系统sigverif.exe,注入了 rootkit 的文件是否会具有损坏的签名?
答案1
不太可能。大多数 rootkit 都会隐藏自身,因此使用标准 Win32 API 的任何访问都将显示原始文件(如果已修补)并忽略 rootkit 添加的任何额外文件/服务。
此外,sigverif 仅验证它所知道签署- 任何额外的文件将会被忽略。
Rootkit揭露者是一种更可靠的工具。一些真正令人讨厌的 rootkit 只有在比较在线和离线扫描时才会显示出来(例如,来自 Windows 本身和来自 Linux CD 的扫描)。