Název
Obrázek
Popis
Odkaz
Alternative trusted medium
Nejlepší a nejspolehlivější metodou pro detekci operačního systému na úrovni rootkit je vypnout počítač podezřelého z infekce, a pak kontrolovat jeho uskladnění tím, bootování z alternativního důvěryhodné médium (např záchranné CD-ROM nebo USB flash disk ). Tato technika je účinné, protože rootkit nemůže aktivně skrýt jeho přítomnost, pokud není v provozu.
Behavioral- based
Behaviorální přístup založený na detekci rootkitů se snaží odvodit přítomnost rootkitu tím, že hledá rootkitu-jako chování. Například tím, že profilování systému, rozdíly v časování a frekvenci API volání, nebo v celkové využití procesoru lze připsat rootkit. Metoda je komplexní a je omezován vysokým výskytem falešných poplachů . Vadné rootkity mohou někdy představit velmi zřetelné změny v systému: Alureon . rootkit havaroval systémy Windows po aktualizaci zabezpečení vystavena konstrukční chybu ve svém kódu.
Signature-based
Antivirové produkty zřídka zachytit všechny viry ve veřejných zkouškách (v závislosti na tom, co se používá a do jaké míry), i když výrobci bezpečnostního softwaru začlenit detekci rootkitů do svých produktů. Pokud by pokus rootkit skrýt během antivirové kontroly, stealth detektor všimnout; pokud rootkit pokusí dočasně uvolnit se od systému, detekce podpis (nebo "otisky prstů"), může ještě najít.
Difference-based
Další metodou, která může detekovat rootkity porovnává "důvěryhodné" surových dat s "poskvrněnýma" obsah vrácené pomocí API . Například binární přítomné na disku, může být v porovnání s jejich kopiemi v operační paměti (v některých operačních systémů, v paměti obrazu by měla být stejná jako obraz na disku), nebo výsledky vrácené z systému souborů nebo registru Windows API can porovnat se surových struktur o podkladových fyzických discích -however, v případě, že v prvním případě některá platná rozdíly mohou být zavedeny operačního systému mechanismy, jako je paměťové přemístění nebo vypodložení .
Integrity checking
Kód podepisování používá veřejné klíčové infrastruktury , aby zkontrolovat, zda soubor byl změněn, protože je digitálně podepsané jejím vydavatelem. Alternativně, vlastník nebo správce systému lze použít šifrovací funkci hash vypočítat "otisk prstu" v okamžiku instalace, které mohou pomoci odhalit následné neoprávněné změny na disku knihoven kódu. Nicméně, nedostatečně propracované systémy pouze zkontrolovat, zda má kód byla změněna od okamžiku instalace; Subversion před té doby není zjistitelný. Otisků prstů, musí být obnoveno pokaždé, když jsou provedeny změny v systému: například po instalaci aktualizací zabezpečení nebo jejich aktualizace Service Pack .
Memory dumps
Vynucení kompletní výpis virtuální paměti bude zachycovat aktivní rootkit (nebo výpis jádra v případě režimu jádra rootkit), což umožňuje v režimu offline forenzní analýzy, které mají být provedeny s debugger proti výsledného souboru výpisu, aniž rootkit schopnosti přijmout veškerá opatření, aby maskovat sebe. Tato technika je vysoce specializovaný, a mohou vyžadovat přístup k neveřejným zdrojového kódu nebo ladění symboly . Paměťové skládky iniciované operačním systémem nelze vždy použít k detekci hypervizoru bázi rootkit, který je schopen zachytit a subvert pokusy nejnižší úrovni ke čtení paměti -a Hardwarové zařízení, jako je například ten, který implementuje non maskable přerušení , může být požadováno, aby výpis paměti v tomto scénáři.