Analisi delle metodologie di rilevamento automatico dei rootkit

L'obiettivo di questo studio era identificare, analizzare, confrontare e valutare l'efficacia delle metodologie di rilevamento dei rootkit. In particolare, sono state studiate a fondo due metodologie. La prima è l'euristica dell'analisi statica dei binari dei moduli del kernel, che cerca di determinare se il comportamento di un modulo software è dannoso o meno, prima di passarlo al sistema operativo. La seconda metodologia analizzata in questo documento, il framework Strider Ghostbuster, confronta ciò che un sistema informatico crede sia vero (cioè quali moduli sono visibili al sistema operativo) con la "verità" assoluta, che viene determinata tramite la programmazione di sistema a basso livello. I risultati attesi di questo confronto dovrebbero essere sempre uguali, a meno che non si osservi una manomissione dolosa del sistema. Dopo aver confrontato l'efficacia delle metodologie di rilevamento su una serie di rootkit noti (e pubblicamente disponibili), tra cui un rootkit molto semplice costruito dall'autore, le metodologie vengono confrontate e la loro efficacia viene valutata.