In primo luogo, un programma basato su php / cgi potrebbe non essere un rootkit - i rootkit sono solitamente associati a malware che si nasconde in un kernel, non solo un malware.
Se sei sicuro che si tratta di un rootkit, hai due possibilità:
- Analisi offline: data l'immagine del sistema spento, puoi analizzare quali file è stato modificato. Allo stesso modo, puoi analizzare i binari nello stesso modo in cui analizzi altri malware.
- Analisi online - questo è ciò che i rootkit cercano di prevenire su se stessi o sul malware che nascondono; tuttavia, spesso è possibile eseguire alcune analisi.
A differenza dei normali malware, la strumentazione binaria o il debug dei rootkit è molto più difficile dato che sono in esecuzione nello stesso livello di sicurezza del resto del kernel e devi collegare un debugger al kernel. Ad esempio, potresti scegliere di utilizzare KGDB .
L'analisi offline è molto simile ad altri software di reverse engineering, ma con una mente sul fatto che i codici sono relativi al kernel, ecc. Le cose possono essere molte più complesse. Per questo, l'IDA è già stato menzionato. Questo è uno strumento di settore standard per queste cose.
Quindi il processo non è poi così diverso da un normale malware.