Está muy bien tener un antirootkit que compare la salida de funciones de Windows mediante su API y luego la implementación propia para detectar procesos ocultos, ficheros/directorios, puertos a la escucha, conexiones, etc. Pero ya digo, de lo que se trata aquí es de una solución fácil y medio casera para salir del paso.
Teniendo en cuenta que a partir de Windows Vista los ficheros propios de Windows se firman, se puede mirar con sigcheck los ficheros de system32. Si hay alguno no firmado... pues ya canta a rootkit.
Decidme vuestros opiniones si realmente sería un método fiable o no, y por qué.
Gracias
