Análisis de las metodologías de detección automática de rootkits

El objetivo de este estudio era identificar, analizar, comparar y evaluar la eficacia de las metodologías de detección de rootkits. En concreto, se estudiaron en profundidad dos metodologías. La primera es la heurística de analizar estáticamente los binarios de los módulos del kernel, que intenta determinar si el comportamiento de un módulo de software es o no malicioso, antes de pasarlo al sistema operativo. La segunda metodología analizada en este documento, el marco Strider Ghostbuster, compara lo que un sistema informático cree que es cierto (es decir, qué módulos son visibles para el sistema operativo) con la "verdad" absoluta, que se determina mediante la programación de bajo nivel del sistema. Los resultados esperados de esta comparación deberían ser siempre iguales, a menos que se observe una manipulación maliciosa en el sistema. Después de comparar la eficacia de las metodologías de detección en un conjunto de rootkits bien conocidos (y disponibles públicamente), incluyendo un rootkit muy simple construido por el autor, se comparan las metodologías y se evalúa su eficacia.