1. Analisi comportamentale: Questo metodo monitora l'attività del sistema per un comportamento sospetto indicativo della presenza di un rootkit. Ciò include chiamate di sistema insolite, modifiche ai modelli di accesso al file system (ad es. File nascosti dalla vista o modificati senza interazione utente), attività di rete e caricamento del driver imprevisto. Invece di cercare firme specifiche di rootkit noti, si concentra sull'identificazione di azioni che sono al di fuori della norma per un sistema sano.
2. Rilevamento basato sulla firma: Questo metodo tradizionale si basa su un database di firme rootkit note (frammenti di codice, hash di file, chiavi di registro). Il software scansiona i file di sistema e la memoria per le corrispondenze a queste firme. Se viene trovata una corrispondenza, indica la presenza di un rootkit noto. Sebbene efficace contro le minacce note, è meno efficace contro i rootkit nuovi o polimorfici che non sono stati ancora aggiunti al database della firma.
software © www.354353.com