Oft sogar schon vorher vom Betriebssystem - seit Programme signiert werden, laufen sie einmal manipuliert nicht mehr. Somit ist "Anhängen" irrelevant, sobald es um die Infektion von Betriebssystemdateien oder solchen aus seriösen Quellen geht.

Hab hier auch ein Win7 64 Bit:

• explorer.exe (64 Bit, 32 Bit): unsigniert
• notepad.exe (64 Bit, 32 Bit): unsigniert
• shell32.dll (64 Bit, 32 Bit): unsigniert
• calc.exe (64 Bit, 32 Bit): unsigniert
• wmplayer.exe (64 Bit, 32 Bit): unsigniert

You catch my drift? So einfach ist es nicht, wobei die genannten Dateien sicherlich durch den DLL-Cache geschützt sind, aber es gibt auch weniger wichtige Programme wie z.B. dxdiag.exe, die diesen Schutz evtl. nicht haben.

MfG Dalai

I catch your drift... you missed some details

Mag sein, dass der Explorer-File Properties-Dialog hier keine Signaturen anzeigt, weil diese Dateien nicht in der Datei selber signiert sind.

Gehst Du allerdings mal über die WinTrust.dll und prüfst mit der entsprechenden API, wirst Du staunen - sie sind's doch. Die Signaturen dazu liegen in Katalogdateien in C:\Windows\System32\catroot\.

Und ganz einfach machen es einem die Sysinternals. Die erlauben es zu jedem laufenden Prozess mit Hilfe des Process Explorers die Signatur zu überprüfen (Properties, Image, Verify). Und schon stellt man fest, die erwähnten Dateien sind signiert.

Sherlock

Hm, stümmt. Wusste nicht, dass MS da einen anderen Weg geht.

MfG Dalai