Cuando se sospecha que un sistema está infectado, una de las medidas a menudo recomendadas para limpiar el sistema (sin tomar realmente el enfoque de "detonar desde la órbita") es escanear la unidad con herramientas antimalware de un sistema confiable y conocido. . La forma en que esto se logra normalmente es retirando la unidad del sistema sospechoso y adjuntándola externa o internamente (como una unidad que no es del sistema) al sistema de confianza. Sin embargo, una opción alternativa en teoría sería escanear el sistema sospechoso a través de la red.
Por ejemplo, en un sistema Windows, un Administrador puede leer todo el contenido de la unidad del sistema a través del recurso compartido integrado \hostname\C$ . Se puede hacer una asignación de unidades en red desde el sistema de confianza al C $ compartido del sistema sospechoso, y luego los programas antimalware se pueden ejecutar en la unidad asignada.
¿El escaneo de un sistema de archivos remoto es, de esta manera, equivalente en efectividad al escaneo sin conexión de la unidad? O, como el sistema operativo del sistema sospechoso aún se está ejecutando, ¿hay formas comunes en que los rootkits puedan ocultar su presencia del sistema que se está utilizando para escanear a través de la red, lo cual no sería posible si el sistema sospechoso estuviera realmente desconectado?
Obviamente, "nuke from orbit" es, como dicen, "la única manera de estar seguro". Sin embargo, esa opción no está dentro del alcance de esta pregunta. Solo pregunto si un análisis remoto de un sistema de archivos es tan efectivo contra los rootkits como un análisis real sin conexión del mismo sistema.