Как проверить подлинность системых файлов ОС Windows?
Есть ли какой-нибудь способ установить, что файл выпущен Microsoft и не был модифицирован? Может быть существует какая-нибудь база хешей всех файлов всех редакций ОС (интересуют прежде всего файлы из директории %systemroot%)?
Я понимаю, что при каждом обновлении часть файлов модифицируется, но по-моему, такой компании, как Microsoft, не так уж сложно добавлять в базу информацию о пофикшенных файлах.
Она как раз не учитывает апдейты. Это из пушки по воробьям — сначала вернуть все файлы к состоянию дистрибутива, потом заново запустить windows update, и установить все обновления. Представляю, сколько это времени займёт.
Согласен, зачем какие-то базы хешей, когда все файлы в Windows подписаны. Вместо базы хешей вам достаточно иметь публичный ключ Майкрософт или что там используется.
При работе combofix есть проверка на модифицированные файлы, и при их нахождении пытается восстановить из резервной копии, в 50-70% прокатывает и файл восстанавливается. Если же не получилось восстановить, то можно просто вручную восстановить/скопировать с рабочей машины.
Это крайне неразумный способ, копировать файлы с другой машины. Там может быть другая версия windows, другая конфигурация и другой набор обновлений. В итоге система может работать нестабильно.
ну как бы подразумевается, что как минимум копирование происходит с одиноковой редакции и версии виндовс и сервис пак совпадает. Ну и да также подразумевается, что и на зараженной и на «доноре» было включено автоматическое обновление и разница в установленных обновах минимальна.
Да и никто не мешает просто посмотреть в свойствах верисю айла и найти на машинах такую же.
ЗЫ Да обычно набор заражаемых файлов очень ограничен: exlorer, winlogon, svchost и еще парочка.
