[Sor_Zitroën]

Me he leído el libro de Análisis forense digital en entornos Windows y veo que mediante sigcheck se comprueban si ciertos ficheros han sido firmados. Por lo tanto veo que se puede utilizar para comprobar de forma casera si hay algún rootkit en el sistema.

Está muy bien tener un antirootkit que compare la salida de funciones de Windows mediante su API y luego la implementación propia para detectar procesos ocultos, ficheros/directorios, puertos a la escucha, conexiones, etc. Pero ya digo, de lo que se trata aquí es de una solución fácil y medio casera para salir del paso.

Teniendo en cuenta que a partir de Windows Vista los ficheros propios de Windows se firman, se puede mirar con sigcheck los ficheros de system32. Si hay alguno no firmado... pues ya canta a rootkit.

Decidme vuestros opiniones si realmente sería un método fiable o no, y por qué.
Gracias

[NewLog]

Pues no conozco la herramienta, ni que los ficheros de Microsoft fueran firmados, así que parece muy buena idea.

También añadiría alguna aplicación que avisara si alguna clave del registro se ha creado o modificado.

Con estas dos cosas imagino que pillarías la mayoría del malware genérico.

[Sor_Zitroën]

Yo tampoco conocía lo que tú comentas hasta que me leí el libro. Aunque hay alguna cosa que ha quedado desfasada (en vez de Win32dd, DumpIt), te recomiendo el libro

Lo de las claves de registro no lo veo, más que nada porque se modifican con mucha frecuencia y los falsos positivos irían que vuelan.

Por cierto, en el primer post me refería a ejecutar sigcheck con las opciones -u -e