Перейдем к различным способам борьбы с RootKit уровня ядра, рассмотрев и те, которые применять не стоит!
Тушение пожара огнем: не делайте этого!
Меня часто спрашивают, нужно ли самим устанавливать RootKit уровня ядра на свои системы для упреждения атакующего: мол, если я поставлю Knark на собственную машину, то атакующий не сможет сделать это после меня, и я одержу верх над ним. Я абсолютно не согласен с подобной философией. Если вы пытаетесь тушить пожар огнем, вы просто спалите свой дом!
Такая идея плоха по нескольким причинам. Во-первых, без детального изучения устанавливаемого RootKit уровня ядра вы можете сделать вашу систему более уязвимой для высококвалифицированного атакующего, который знает этот инструмент лучше вас. Более того, RootKit уровня ядра, естественно, делает систему более сложной для понимания и анализа. Если ваша машина взломана, то ее посмертное вскрытие становится значительно сложнее при установленном RootKit уровня ядра. Возможно, вам придется сделать обратную трассировку для каждого запроса к исполняемой программе, файлу, процессу или сети, чтобы определить, что действительно случилось в системе. Это усложнение анализа было бы неприятной новостью в срочном расследовании. Наконец, в системе одновременно может быть множество RootKit уровня ядра различных типов. Поэтому простая установка вами Knark не предотвратит захват атакующим системы и установку Adore или даже доморощенного RootKit уровня ядра. Таки образом, инсталляция Knark не блокирует другие RootKit.
