Ciência da Computação Segurança da Informação

Os rootkits podem executar em modo usuário ou em modo núcleo. Em modo de núcleo são usados para atacar rotinas privilegiadas do sistema operacional. Esta categoria de rootkit, normalmente
  • A. pode ser detectada pela verificação de modificações em arquivos do disco, já que alteram utilitários do sistema ou bibliotecas no disco.
  • B. insere código no espaço de endereçamento de outro processo de usuário com a finalidade de alterar o seu comportamento, usando técnicas como injeção de DLL.
  • C. é considerada mais fácil de detectar, porque funciona em níveis mais altos do sistema operacional, facilmente inspecionados por softwares antimalwares.
  • D. pode ser detectada por softwares que mantêm assinaturas de certas funções do núcleo que podem ser alvo e inspecionam a memória do núcleo para determinar se foram feitas modificações nestas funções.
  • E. não pode modificar a memória do núcleo para substituir funções do sistema operacional, porém, pode embutir funções no núcleo do sistema para ocultar sua existência.