Некоторые методы, которые используются для обхода защиты от руткитов в Windows:

• Перехват функций. 1 Руткит модифицирует результаты работы функций, например, перехватывает функцию поиска файла на диске, чтобы исключить из результатов поиска маскируемые файлы. 1
• Создание драйвера-фильтра. 1 Такой драйвер может применяться как для решения задач мониторинга, так и для активного вмешательства в работу системы. 1 Например, он может использоваться для маскировки файлов и папок на диске. 1
• Прямая запись в файл реестра на диске. 2 Доступ к этим файлам заблокирован, но руткит может осуществлять запись через прямой доступ к диску, а затем скрывать изменения с помощью техник перехвата системных функций. 2
• Перезапись кода системных сервисов режима ядра. 2 Руткит может вписывать в начало кода системных сервисов команду безусловного перехода на собственный обработчик. 2
• Использование отладочных регистров процессора. 2 Для перехвата могут использоваться отладочные DRx регистры процессора. 2

Для обнаружения и удаления руткитов в Windows используются специальные утилиты, например, Malwarebytes Anti-Rootkit, Kaspersky TDSSKiller, Bitdefender Rootkit Remover. 45