Je hebt een klacht over de onderstaande posting:
Heel het kenmerk van polymorfe ring0 rootkits is dat ze niet traceerbaar zijn vanuit het OS zelf. Vanuit het oogpunt van het OS staat er dus geen extra executable in de %AppData%, deze is namelijk verborgen via low level API hooks, lang verhaal, maar Google is je vriend. Zoals vermeld in het artikel neemt een rootkit processen over, in plaats van ze traceerbaar toe te voegen. Injectie dus. De payload en data zelf wordt overigens steeds vaker verborgen in een aparte, verborgen en individueel versleutelde partitie. Ieder end-point met OS/HDD en een (indirecte) verbinding naar buiten is per definitie kwetsbaar, ongeacht de account-restricties. Het probleem zit hem vaak ergens tussen de bureaustoel en de muis... Certificering is een heel ander verhaal.
Beschrijf je klacht (Optioneel):