En primer lugar, un programa basado en php / cgi podría no ser un rootkit: los rootkits generalmente se asocian con un malware que se oculta en un kernel, no solo en un malwares.
Si está seguro de que es un rootkit, tiene dos opciones:
- Análisis sin conexión: dada una imagen del sistema apagado, puede analizar qué archivos ha cambiado. Del mismo modo, puede analizar los binarios de la misma manera que analiza otros programas maliciosos.
- Análisis en línea: esto es lo que los rootkits intentan evitar en sí mismos o en los malwares que esconden; sin embargo, a menudo puedes realizar algún análisis.
A diferencia de los malwares normales, la instrumentación binaria o la depuración de rootkits es mucho más difícil, ya que se ejecutan en el mismo nivel de seguridad que el resto del kernel y tiene que adjuntar un depurador al kernel. Puede elegir utilizar KGDB , por ejemplo.
El análisis fuera de línea es muy parecido a la ingeniería inversa de otros malwares, pero teniendo en cuenta el hecho de que los códigos son relativos al kernel, etc. Las cosas pueden ser mucho más complejas. Para esto, la AIF ya ha sido mencionada. Esta es una herramienta estándar de la industria para tales cosas.
En realidad, el proceso no es tan diferente de un malwares normal.