Каковы основные методы обнаружения руткитов?

Некоторые методы обнаружения руткитов:

• Использование специализированных антивирусных программ. 2 Они могут обнаружить изменения в системе, вызванные действием руткита. 2
• Ручное исследование системы. 2 Включает проверку ключевых системных файлов на предмет изменений, а также анализ активности процессов в системе. 2
• Анализ сетевого трафика. 25 Позволяет выявить подозрительную активность, которая может быть связана с работой руткита. 2
• Поведенческий анализ. 3 При этом методе вместо поиска самого руткита выполняется анализ и поиск поведения, характерного для руткита. 3
• Сравнение двух снимков системы. 1 Первый снимок делается на проверяемой системе, второй — после загрузки с CD или подключения исследуемого HDD к заведомо чистому компьютеру. 1
• Анализ в памяти функций основных библиотек. 1 Позволяет обнаружить перехват функций и восстановить нормальную работу повреждённых функций. 1
• Анализ и восстановление ServiceDescriptorTable. 1 Эта методика позволяет бороться с рядом перехватчиков, работающих в режиме ядра. 1

Для обнаружения руткитов также могут использоваться сканеры руткитов, средства для обнаружения вредоносной активности на конечных узлах и другие инструменты. 5