Analyse der automatisierten Rootkit-Erkennungsmethoden

Der Schwerpunkt dieser Studie lag auf der Identifizierung, Analyse, dem Vergleich und der Bewertung der Effektivität von Rootkit-Erkennungsmethoden. Im Einzelnen wurden zwei Methoden eingehend untersucht. Die erste ist die Heuristik der statischen Analyse von Kernelmodul-Binärdateien, die versucht festzustellen, ob das Verhalten eines Softwaremoduls bösartig ist oder nicht, bevor es an das Betriebssystem weitergegeben wird. Die zweite in dieser Arbeit analysierte Methode, das Strider Ghostbuster-Framework, vergleicht das, was ein Computersystem für wahr hält (d. h. welche Module für das Betriebssystem sichtbar sind), mit der absoluten "Wahrheit", die durch Low-Level-Systemprogrammierung ermittelt wird. Die erwarteten Ergebnisse dieses Vergleichs sollten immer gleich sein, es sei denn, es wird eine böswillige Manipulation des Systems beobachtet. Nach dem Vergleich der Wirksamkeit der Erkennungsmethoden bei einer Reihe bekannter (und öffentlich verfügbarer) Rootkits, einschließlich eines sehr einfachen, vom Autor erstellten Rootkits, werden die Methoden verglichen und ihre Wirksamkeit bewertet.