Автоматизированные инструменты, проверяющие наличие RootKit, сегодня очень активная область разработок. Инструментом, который ищет признаки RootKit - традиционных и уровня ядра - на UNIX-системах, является программа chkrootkit, доступная на ftp.pangeia.com.br/pub/seg/pac/. Эта программа сканирует различные системные исполняемые программы в поисках традиционных RootKit. Кроме того, она ищет скрытые процессы, сравнивая содержимое каталога /ргос с результатами, возвращенными командой ps. Каталог /ргос хранит информацию о каждом выполняющемся в системе процессе. Если команда ps не отображает всех процессов, указанных в /ргос, то некоторые из процессов скрыты. К сожалению, усовершенствованный RootKit уровня ядра изменит то, что chkrootkit может видеть в /ргос, делая атакующего слишком скрытным для того, чтобы быть обнаруженным этим инструментом. Однако даже с таким ограничением chkrootkit - заслуживающая внимания бесплатная программа.
Если требуется покупное решение, то многие из систем обнаружения вторжения (IDS) на выделенных компьютерах помогут в поиске традиционных RootKit и RootKit уровня ядра, а также в защите от них. Для очень чувствительных систем следует предусмотреть развертывание инструментов IDS на выделенных компьютерах.
