Recientemente, he aprendido cómo algunos rootkits pueden ocultar ciertos archivos, servicios, etc. de los programas en el modo kernel o usuario.
Esto me hizo pensar: ¿hay algún programa antivirus u otro sistema de detección de intrusos que use "archivos canarios" con cadenas comunes en sus nombres de archivos que normalmente están ocultos por los rootkits para detectarlos?
es decir:
1.) MyRootkit.vir
es conocido por ocultar archivos que incluyen la cadena ".vir" en su nombre de archivo.
2.) Tras la instalación (o la actualización de la firma) MyAV
pone MyRootkitcanary.vir
en C: \ Archivos de programa \ MyAV \ Canary Files \
3.) Durante una exploración, MyAV
ejecuta cmd -c dir "C:\Program Files\MyAV\Canary Files\"
4.) Si MyRootkitcanary.vir
no está incluido en la respuesta del sistema, MyAV
alerta que el sistema puede estar infectado con MyRootkit.vir
.