ルートキット検出ソフトウェアの問題点は、ルートキットが本当に優れていれば、検出ソフトウェアから自分自身の痕跡を隠すように働くということです。
ルートキットは、感染している可能性のあるコンピュータから別のコンピュータに送信されるトラフィックを監視することによって、より確実に検出できると思います。何かのようなもの:
- 感染したコンピュータへのすべてのトラフィックを(有線または無線で)ルーティングするように代替コンピュータを設定します(これを「監視コンピュータ」と呼びます)。
- 監視コンピュータをゲートウェイまたはワイヤレスアクセスポイントとして使用するように感染したコンピュータを設定する
- 監視コンピュータ上のソフトウェアには、感染を示す可能性のあるトラフィックの定義があります(ウイルスシグネチャ、IRCプロトコルパターン、送信スパムのSMTPパターンなど)
- 監視コンピュータが問題を検出すると、問題を報告して疑わしいトラフィックをドロップします。
- 無実のトラフィックはすべて前方にルーティングされます。
そのようなソフトウェアはプラットフォームに存在しますか?感染したコンピュータはWindowsを実行している可能性がありますが、監視コンピュータはルータとして機能しているため、どのOSも実行できます。