Völlig richtig. Der Virenschutz eines kompromitierten Systems ist nicht mehr zuverlässig, weil sein Rootkit den Usern und Anwendungen alles mögliche vorgaukeln kann. Wer unter XP etwas mehr Sicherheit will, kann zum Beispiel den RootkitRevealer vom Microsoft benutzen: https://technet.microsoft.com/en-us/sys ... s/bb897445Was mir auch auffällt ist, dass ihr alle denkt, ihr seid nicht infiziert, weil bei Avast und Co nix durchgekommen ist. Meint ihr die Millionen Opfer von Botnetzen haben alle kein Antivirus und sind sich bewusst, dass sie infiziert sind?
Microsoft wird ähnliche Verfahren sicherlich in ihren "Security Essentials" einsetzen, aber darüber weiß ich nichts konkretes. Müsste man mal googlen.
Ein Bisschen Background: Die beiden Entwickler Cogswell und Russinovich befassen sich schon eine kleine Ewigkeit mit dem Windows-Kernel und sind echte Pioniere im Reverse-Engineering undokumentierter APIs und im Hooken der API-Aufrufe. Microsoft hat sie vor ein paar Jahren samt Firma (Sysinternals) aufgekauft. Der RootkitRevealer vergleicht die Ergebnisse oberster API-Calls mit den tatsächlichen Datenstrukturen. Es ist relativ unwahrscheinlich, dass ein Rootkit die Datenstrukturen im Speicher selbst manipuliert, eben weil sie größtenteils undokumentiert sind und sich der Aufwand dafür angesichts der vielen ungepatchten System da draußen kaum lohnt.
Wobei man ehrlicherweise sagen muss, dass es keine 100%ige Sicherheit gibt.