Se ho root su un sistema e voglio davvero nascondere un file, la risposta ovvia è un rootkit, che può nascondere tutti i file che voglio da quasi tutti i rilevamenti, agganciando le letture del file system ecc. I rootkit sono incredibilmente difficili da trovare in un normale ambiente di lavoro, in quanto non ti puoi fidare di nulla che il sistema operativo segnala. Se si dispone di Tripwire su un sistema, funziona correttamente e si monitora l'intero filesystem, l'installazione di un rootkit deve essere rilevata, tuttavia se un utente malintenzionato può effettuare il root e accedere ai sistemi Tripwire, tutte le scommesse sono disattivate.
Ciò che è molto più probabile nella pratica, tuttavia, è che i file siano nascosti nelle profondità del filesystem, forse sotto. directory in modo che non mostrino un normale ls, o forse come file di nome innocuo. La cosa buona è che più amministratori di Linux sembrano sapere quali file dovrebbero esistere rispetto agli amministratori di Windows, probabilmente più giù del fatto che Windows è gestito normalmente attraverso una GUI, tuttavia con un maggiore uso di Powershell questo sta cambiando.
È possibile scrivere file su una porzione inutilizzata di un disco, tuttavia in un ambiente aziendale si tende a trovare i dischi completamente utilizzati, quindi un utente malintenzionato dovrebbe prima modificare una partizione o trovare un modo per nascondere l'uso di una sezione del filesystem esistente. Succede, ma non tutte le volte che puoi pensare.
La steganografia non è usata molto. Gli eseguibili malevoli si trovano in file dall'aspetto innocuo, ma solitamente come vettore, non in archivio.
In sintesi, dal punto di vista dei difensori, proteggere root, patch regolarmente e utilizzare Tripwire o un equivalente.