Sí.//strong>
Un rootkit generalmente parchea el kernel u otras bibliotecas de software para alterar el comportamiento del sistema operativo. Una vez que esto sucede, no puede confiar en nada de lo que el sistema operativo le indique.
Por ejemplo; un simple cambio en el programa dir
podría ocultar la existencia de archivos maliciosos a un usuario, pero muchos paquetes de antivirus lo pueden detectar fácilmente, ya que la alteración de un ejecutable es algo que se puede notar. Sin embargo, si el malware altera los mecanismos mediante los cuales los programas de la zona del usuario consultan el sistema de archivos, parcheando el propio kernel, cualquier programa de espacio de usuario puede ser engañado para que piense que el ejecutable no ha sido modificado.
Una vez que el malware ha comenzado a alterar el comportamiento de las llamadas del sistema / kernel api, puede ocultar cualquier actividad de cualquier , incluidas las interacciones de red.
Todo esto solo se aplica si está monitoreando la máquina infectada localmente. Si tiene registros de firewall o algún otro método remoto para monitorear la máquina infectada, esta información puede ser confiable (las conexiones de red aún tienen que existir , pero pueden estar ocultas de el sistema operativo infectado).