|
Les logiciels anti-rootkit utilisent plusieurs méthodes pour détecter les rootkits, mais les deux principales sont :
1. Analyse comportementale : Cette méthode surveille l'activité du système à la recherche de comportements suspects indiquant la présence d'un rootkit. Cela inclut les appels système inhabituels, les modifications des modèles d'accès au système de fichiers (par exemple, fichiers masqués ou modifiés sans interaction de l'utilisateur), l'activité réseau et le chargement inattendu de pilotes. Au lieu de rechercher des signatures spécifiques de rootkits connus, il se concentre sur l’identification des actions qui sont en dehors de la norme pour un système sain.
2. Détection basée sur les signatures : Cette méthode traditionnelle s'appuie sur une base de données de signatures de rootkits connues (extraits de code, hachages de fichiers, clés de registre). Le logiciel analyse les fichiers système et la mémoire pour rechercher des correspondances avec ces signatures. Si une correspondance est trouvée, cela indique la présence d’un rootkit connu. Bien qu'efficace contre les menaces connues, il l'est moins contre les rootkits nouveaux ou polymorphes qui n'ont pas encore été ajoutés à la base de données de signatures.
|
