Je ne vois pas comment SFC peut vérifier de manière sûre l'intégrité d'un fichier système.
SFC fait partie de WFP (Windows File Protection).
Il utilise les signatures de fichiers et les fichiers de catalogue générés par la signature de code pour vérifier si les fichiers ont été modifiés/corrompus et la signature de code.
Bien sûr, cela n'empêche pas les pirates de démarrer sous Linux et d'écrire ensuite sur la partition Windows, mais cela fournit un mécanisme de réparation qui garantit que tous les fichiers Windows critiques sont des versions correctes.
N'oubliez pas que les jeux sont faits si un pirate a un accès physique à une machine. Dans ce cas, rien ne peut empêcher un pirate de faire ce qu'il veut.
Le programme WFP protège les fichiers système essentiels qui sont installés dans le cadre de Windows (par exemple, les fichiers avec une extension .dll, .exe, .ocx et .sys et certaines polices True Type). WFP utilise les signatures de fichiers et les fichiers de catalogue générés par la signature de code pour vérifier si les fichiers système protégés correspondent aux versions correctes de Microsoft.
Le remplacement des fichiers système protégés n'est pris en charge que par l'intermédiaire de la fonction mécanismes suivants :
- Installation du Service Pack de Windows à l'aide de Update.exe
- Les correctifs installés à l'aide de Hotfix.exe ou Update.exe
- Mise à niveau du système d'exploitation à l'aide de Winnt32.exe
- Mise à jour de Windows
...
La fonction PAM assure la protection des fichiers système à l'aide de deux mécanismes. Le premier mécanisme s'exécute en arrière-plan. Cette protection est déclenchée lorsque le WFP reçoit une notification de changement de répertoire pour un fichier situé dans un répertoire protégé. Après avoir reçu cette notification, le WFP détermine quel fichier a été modifié. Si le fichier est protégé, le WFP recherche la signature du fichier dans un fichier catalogue pour déterminer si le nouveau fichier est la version correcte. Si le fichier n'est pas la bonne version, WFP remplace le nouveau fichier par le fichier du dossier cache (s'il se trouve dans le dossier cache) ou de la source d'installation.
...
Le deuxième mécanisme de protection fourni par la fonction PAM est l'outil System File Checker (Sfc.exe). À la fin de l'installation en mode GUI, l'outil System File Checker analyse tous les fichiers protégés pour s'assurer qu'ils ne sont pas modifiés par des programmes installés par le biais d'une installation non surveillée. L'outil System File Checker vérifie également tous les fichiers de catalogue qui sont utilisés pour suivre les versions correctes des fichiers. Si l'un des fichiers de catalogue est manquant ou endommagé, le PAM renomme le fichier de catalogue concerné et récupère une version en cache de ce fichier dans le dossier de cache. Si une copie en cache du fichier de catalogue n'est pas disponible dans le dossier de cache, la fonction WFP demande le support approprié pour récupérer une nouvelle copie du fichier de catalogue.
Fuente Description de la fonction de protection des fichiers de Windows
