Как проверить подлинность системых файлов ОС Windows?

Question

[LMaster]

Есть ли какой-нибудь способ установить, что файл выпущен Microsoft и не был модифицирован? Может быть существует какая-нибудь база хешей всех файлов всех редакций ОС (интересуют прежде всего файлы из директории %systemroot%)?

Я понимаю, что при каждом обновлении часть файлов модифицируется, но по-моему, такой компании, как Microsoft, не так уж сложно добавлять в базу информацию о пофикшенных файлах.

Answer 1

[asko_o]

Проверка целостности системных файлов командой sfc.exe в командной строке с префиксами

Comments

[Вячеслав Голованов]

Она как раз не учитывает апдейты. Это из пушки по воробьям — сначала вернуть все файлы к состоянию дистрибутива, потом заново запустить windows update, и установить все обновления. Представляю, сколько это времени займёт.

[asko_o]

Извините, видать не так понял. Там же кстати можно без замены, просто скан.

Answer 2

[joneleth]

sigverif
Но задача-то какая? Если вирусы ловить — то просто переустанавливать надо.

Answer 3

[gaelpa]

Цифровая подпись?

Comments

[egorinsk]

Согласен, зачем какие-то базы хешей, когда все файлы в Windows подписаны. Вместо базы хешей вам достаточно иметь публичный ключ Майкрософт или что там используется.

[LMaster]

Подписаны далеко не все файлы.

Answer 4

[ZUZ]

При работе combofix есть проверка на модифицированные файлы, и при их нахождении пытается восстановить из резервной копии, в 50-70% прокатывает и файл восстанавливается. Если же не получилось восстановить, то можно просто вручную восстановить/скопировать с рабочей машины.

Comments

[egorinsk]

Это крайне неразумный способ, копировать файлы с другой машины. Там может быть другая версия windows, другая конфигурация и другой набор обновлений. В итоге система может работать нестабильно.

[ZUZ]

ну как бы подразумевается, что как минимум копирование происходит с одиноковой редакции и версии виндовс и сервис пак совпадает. Ну и да также подразумевается, что и на зараженной и на «доноре» было включено автоматическое обновление и разница в установленных обновах минимальна.
Да и никто не мешает просто посмотреть в свойствах верисю айла и найти на машинах такую же.
ЗЫ Да обычно набор заражаемых файлов очень ограничен: exlorer, winlogon, svchost и еще парочка.

Answer 5

[microphone]

а это совсем не то?

Answer 6

[Ubran_Hera]

AVZ+VirusTotal+Winternals