Как определить что файлы ядра были изменены на диске?

Тема в разделе "WASM.BEGINNERS", создана пользователем UTeX, 5 дек 2007.

Страница 2 из 2
  1. Hmm

    Hmm New Member

    Публикаций:
    0
    Регистрация:
    22 ноя 2006
    Сообщения:
    162
    Пару мыслей .
    1 Ну вроде бы сист. файлы должны быть подписаны ? Кажется даже
    ProcessExplorer что-то такое проверяет ...
    2 Может поможет просто тупо глянуть время создания/изменения файла ?(Хотя могли и перевести , но мало ли ) . И если небыло update'ов , а дата файла отличается от установки , тогда аларм .
    3 Если updat'ы были , все они записаны в
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates
    (их там вроде бы еще sfc чекает , from time to time .).
    И если в update'ах нету такой даты изменения файла ядра , тогда снова аларм .

    P.S.: Черт разбет этот wfp/sfc . Никак не доеду , как оно работает .
     
    Hmm, 5 дек 2007
    #21
  2. roman_pro

    roman_pro New Member

    Публикаций:
    0
    Регистрация:
    9 фев 2007
    Сообщения:
    291
    Проверить цифровые подписи файлов, желательно загрузившись с какого-нить LiveCD. sigverif.exe в помощь.
     
    roman_pro, 5 дек 2007
    #22
Страница 2 из 2