Z role hypervizoru (nebo i jen kernelového rootkitu) můžete ovlivňovat běh OS prakticky libovolným způsobem. Běh OS ve VM možná detekujete, ale to nijak neprokazuje nákazu.
Ad podpis neda ziskat nelegalne - to je věc organizační, nikoliv technická.
Ad pokud by malware vyuzil k bootu jiz podepsanej bootloader a jadro, tak ten podpis nemusi resit vůbec - UEFI kontroluje podpis zaváděné binárky, a ta kontroluje podpisy dále natahovaných binárek.
Počítač samozřejmě dovolí instalaci nepodepsaného SW, nicméně nedovolí zavedení nepodepsaného kernelu nebo driverů.
Práva na úrovni OS jsou k ničemu, pokud se podaří najít vulnerability umožňující priviledge escalation. A takových je každý rok několik ve všech OS. Jedna taková díra může vést k infekci dlouhé řady strojů, kterou pak není možné odstranit z běžícího OS.