Me he leído el libro de
Análisis forense digital en entornos Windows y veo que mediante
sigcheck se comprueban si ciertos ficheros han sido firmados. Por lo tanto veo que se puede utilizar para comprobar de forma casera si hay algún rootkit en el sistema.
Está muy bien tener un antirootkit que compare la salida de funciones de
Windows mediante su API y luego la implementación propia para detectar procesos ocultos, ficheros/directorios, puertos a la escucha, conexiones, etc. Pero ya digo, de lo que se trata aquí es de una solución fácil y medio casera para salir del paso.
Teniendo en cuenta que a partir de
Windows Vista los ficheros propios de
Windows se firman, se puede mirar con
sigcheck los ficheros de system32. Si hay alguno no firmado... pues ya canta a rootkit.
Decidme vuestros opiniones si realmente sería un método fiable o no, y por qué.
Gracias