Die Anti-Rootkit-Software verwendet verschiedene Methoden, um RootKits zu erkennen, aber zwei prominente sind:
1. Verhaltensanalyse: Diese Methode überwacht die Systemaktivität für verdächtiges Verhalten, das auf die Anwesenheit eines Rootkit hinweist. Dies beinhaltet ungewöhnliche Systemaufrufe, Änderungen in den Datei -Systemzugriffsmustern (z. B. Dateien, die aus der Ansicht versteckt oder ohne Benutzerinteraktion geändert wurden), Netzwerkaktivitäten und unerwarteten Treiberladen. Anstatt nach spezifischen Signaturen bekannter Rootkits zu suchen, konzentriert es sich darauf, Aktionen zu identifizieren, die außerhalb der Norm für ein gesundes System liegen.
2. Signaturbasierte Erkennung: Diese traditionelle Methode basiert auf einer Datenbank bekannter Rootkit -Signaturen (Code -Snippets, Datei -Hashes, Registrierungsschlüssel). Die Software scannt Systemdateien und Speicher für Übereinstimmungen dieser Signaturen. Wenn eine Übereinstimmung gefunden wird, zeigt es das Vorhandensein eines bekannten Rootkit an. Obwohl es gegen bekannte Bedrohungen wirksam ist, ist es weniger effektiv gegen neue oder polymorphe Rootkits, die der Signaturdatenbank noch nicht hinzugefügt wurden.