Neben diesem "Vorteil" der leichten Umsetzung gibt es bei der Realisierung von Rootkits im Anwender-Modus einen wesentlichen "Nachteil" - das schwierigere Verbergen der Manipulation. Denn das Vorhandensein von Rootkits im Anwender-Modus des Systems lässt sich ohne große Anstrengung über spezielle Hilfsprogramme feststellen. Und genau dies ist der Grund für das in der letzten Zeit gestiegene Interesse der Hcker für Rootkit-Technologien im Kernel-Modus - ungeachtet des höheren Schwierigkeitsgrades bei der Entwicklung derartiger Rootkits.
Rootkits im Kernel-Modul sind schwerer zu entdecken
Rootkits Kernel-Modus können noch besser ihre Manipulation tarnen als auf Anwenderebene. Die überwiegende Mehrheit dieser Rootkits verwendt nicht dokumentierte Strukturen des Betriebssystems. So fangen sie beispielsweise häufig Anwendungen aus der Tabelle "KeServiceDescriptorTable" ab. Dort variiert allerdings Zahl der Services stark abhängig vom Betriebssystem. Dies zwingt die Rootkits-Entwickler zu tiefer gehenden Analysen des System-Codes, um Hinweise auf Anwendungen in der oben erwähnter Tabelle festzustellen. Diese Vorgehensweise erinnert sehr an das Abfangen der API-Funktionen.
Beispiel für eine Modifikation der Systemstrukturen ist die Veränderung der System-Liste "PsActiveProcessList". Diese Vorgehensweise wird von Rootkit "FU" verwendet: Ein beliebiger Prozess bleibt dabei vor den meisten System Utilities verborgen (siehe auch Abbildungen 3 und 4).
Aus Abbildung 3 ist ersichtlich, dass der gestartete Text-Editor Notepad in der Liste der aktiven Prozesse unter dem Namen notepad.exe sichtbar ist (mit fetter, roter Linie umkreist). Abbildung 4 zeigt den Bildschirm nach dem Start des Rootkits "FU" mit dem Befehl, den Prozess zu verbergen. Aus dieser Abbildung ist ersichtlich, dass bei aktivem Editor sein Name aus der Liste der aktiven Prozesse verschwunden ist (fetter, roter Pfeil).
Das Erkennen von Rootkits
Im Wettlauf mit Antiviren-Programmen werden Rootkits immer eine Nasenlänge voraus liegen. Ein Grund dafür sind die permanent erscheinende neue Rootkit-Technologien. Zum anderen benötigen Entwickler der Antiviren-Programme eine gewisse Zeit für die Analyse der Schadprogramme und für die Bereitstellung der entsprechenden Patches.