Un rilevatore di rootkit è un tipo specializzato di software utilizzato per trovare la presenza di rootkit nascosti su un computer. Non tutti i rootkit sono malware, ma la loro capacità di aggirare le normali impostazioni di sicurezza del sistema operativo e rimanere nascosti agli utenti del computer rende il rootkit una scelta molto popolare tra i creatori di malware. Il rilevatore di rootkit va oltre l’ambito dei tipici programmi antivirus e antimalware per trovare questi programmi nascosti che hanno ottenuto l’accesso a livello di root al computer accedendo alla radice del sistema operativo del computer per cercare programmi nascosti che potrebbero causare guaio.
I rootkit rappresentano un serio rischio per la sicurezza per gli utenti di computer perché questi programmi sono in grado di nascondere la loro presenza e sovvertire il sistema operativo all’insaputa dell’amministratore del computer o di altri utenti. Con la capacità del rootkit di ottenere l’accesso a livello di root al sistema, i creatori di malware possono utilizzare i rootkit per rubare password e altre informazioni sensibili in remoto, per distruggere file essenziali del sistema operativo o per creare caos generale sul computer della vittima. Con la sua capacità di rimanere nascosto, il rootkit viene spesso posizionato sul computer come payload incluso con un altro programma o file scaricato dall’utente del computer. In altri casi, il rootkit potrebbe essere posizionato sul computer da un individuo che ha intenzioni dannose e che ha precedentemente ottenuto l’accesso alla radice del sistema operativo del computer, tramite contatto fisico o tramite accesso remoto utilizzando una vulnerabilità del sistema.
La varietà di mezzi con cui i rootkit possono essere installati sul computer di una vittima è il motivo per cui un rilevatore di rootkit può assumere molte forme. Un rilevatore di rootkit può comportare l’uso di algoritmi complessi per cercare modifiche nei file o nelle firme del sistema operativo, modelli di comportamento comuni tra malware e spyware o la scansione dei file di dump della memoria per trovare prove dell’installazione di malware. In alcuni casi, il rilevatore di rootkit funziona come un sistema operativo separato per assicurarsi che il rilevatore di rootkit non venga compromesso.
Quando si utilizza un rilevatore di rootkit in combinazione con strumenti di rimozione di rootkit, è importante comprendere che, sebbene la maggior parte dei rootkit sia costituita da malware, alcuni rootkit servono effettivamente a uno scopo utile. I rootkit possono essere utilizzati per rilevare attacchi da parte di programmi dannosi, aggiungere maggiore potenza al software di emulazione, eseguire programmi che non necessitano di un’interfaccia utente o persino proteggere i laptop dai furti. Quando i rootkit vengono rilevati da un rilevatore di rootkit, è importante verificare l’origine del rootkit e il suo utilizzo prima di eliminarlo dal sistema per assicurarsi che durante il processo non vengano arrecati danni maggiori al sistema.