Sì.

Un rootkit di solito applica patch al kernel o ad altre librerie software per alterare il comportamento del sistema operativo. Una volta che questo accade, non ti puoi fidare di nulla che il sistema operativo ti dice.

Ad esempio; una semplice modifica al programma dir potrebbe nascondere l'esistenza di file dannosi da parte di un utente, ma questo è facilmente rilevabile da molti pacchetti antivirus poiché l'alterazione di un eseguibile è qualcosa che può essere notato. Se, tuttavia, il malware modifica i meccanismi con cui i programmi userland interrogano il file system, correggendo il kernel stesso, qualsiasi programma di spazio utente può essere indotto a pensare che l'eseguibile non sia stato alterato.

Una volta che il malware ha iniziato a modificare il comportamento delle chiamate di sistema / api del kernel, può nascondere qualsiasi attività in modo efficace, incluse le interazioni di rete.

Tutto ciò si applica solo se si sta monitorando la macchina infetta localmente. Se si dispone di registri del firewall o di altri metodi di monitoraggio remoto della macchina infetta, è possibile che tali informazioni siano attendibili (le connessioni di rete devono ancora esistere , ma possono essere nascoste da il sistema operativo infetto).

Come sopra risposto su rootkit che utilizza tecniche di occultamento per nascondersi, se parliamo di prevenzione: Rilevazione comportamentale del malware è un tema caldo per i ricercatori per l'identificazione e la generalizzazione di alcune regole di rilevamento basate sul comportamento imprevisto di il malware.

Il malware più sofisticato richiede più impegno, a volte il rilevamento non è utile perché richiede più tempo, di cui il malware ha portato a termine il proprio compito.

Leggi questi articoli:

Rilevamento comportamentale del malware: da un sondaggio a un istituto tassonomia

Rilevamento di malware comportamentale a livello di disco

Sì, è possibile che il malware sostituisca semplicemente lo strumento integrato con una versione danneggiata o sostituisca i driver che lo strumento utilizza per rilevare l'attività di rete. Questo è chiamato rootkit. Per aggirare il problema, la soluzione migliore è quella di eseguire l'avvio da un LiveCD (evitando che il rootkit diventi efficace) o utilizzando un componente hardware separato per l'analisi (come un analizzatore di pacchetti su un altro sistema o i registri da un router .

In realtà, un rootkit non deve nemmeno essere coinvolto per Perfmon per perdere le cose. Perfmon utilizza Event Tracing per Windows per rilevare l'attività di rete. ETW ha alcune limitazioni in questo senso - vale a dire, è uno strumento "best effort" - gli eventi possono essere eliminato per una miriade di motivi:

Missing Events

Perfmon, System Diagnostics, and other system tools may report on missing events in the Event Log and indicate that the settings for Event Tracing for Windows (ETW) may not be optimal. Events can be lost for a number of reasons:

• The total event size is greater than 64K. This includes the ETW header plus the data or payload. A user has no control over these missing events since the event size is configured by the application.
• The ETW buffer size is smaller than the total event size. A user has no control over these missing events since the event size is configured by the application logging the events.
• For real-time logging, the real-time consumer is not consuming events fast enough or is not present altogether and then the backing file is filling up. This can result if the Event Log service is stopped and started when events are being logged. A user has no control over these missing events.
• When logging to a file, the disk is too slow to keep up with the logging rate.

Fortunatamente, ETW opera a un livello relativamente basso nel kernel, quindi alcuni metodi comuni utilizzati dal malware per nascondere la sua attività (come l'assegnazione di patch allo stack LSP) sono inefficaci.

Naturalmente, la tecnologia rootkit può essere utilizzata per nascondere qualsiasi informazione su una macchina locale, inclusa l'attività di rete.