Análise de Metodologias de Detecção Automatizada de Rootkit

O foco deste estudo foi identificar, analisar, comparar e avaliar a eficácia das metodologias de detecção de rootkit. Especificamente, duas metodologias foram estudadas em profundidade. A primeira é a heurística de analisar estaticamente os binários do módulo de kernel, que tenta determinar se o comportamento de um módulo de software é ou não malicioso, antes de o passar para o sistema operativo. A segunda metodologia analisada neste artigo, a estrutura Strider Ghostbuster, compara o que um sistema informático acredita ser verdade (ou seja, que módulos são visíveis para o SO) com a "verdade" absoluta, que é determinada através da programação de baixo nível do sistema. Os resultados esperados desta comparação devem ser sempre iguais, a menos que seja observada uma adulteração maliciosa do sistema. Após comparar a eficácia das metodologias de detecção num conjunto de rootkits bem conhecidos (e publicamente disponíveis), incluindo um rootkit muito simples construído pelo autor, as metodologias são comparadas e a sua eficácia é avaliada.