Нужно узнать был ли системный файл модифицирован после последнего рестарта системы. Вроде простая задача, нужно посмотреть на дату модификации файла. Оказываеся, что этого недостаточно. Смотрю на ntdll.dll. Делаю update винде, в процессе которого этот файл модифицируется. Дата последней модификации - 18 августа. А у нас октябрь уже заканчивается!
Это не всегда возможо. Допустим запускаю некую программу. Как узнать, что win32k.sys находящийся в памяти соответствует образу на диске? Контрольные суммы считать бесполезно из за наличия легитимных патчей.
Ну так речь же вроде шла про файл на диске, а для образа можно считать КС по крайней мере секции(-й) кода с учетом релоков.
