But can a rootkit also modify a processes metadata in a way that it won't even be recognized by a RAM forensic tool like volatility?
La risposta breve è, non proprio.
I rootkit cambiano regolarmente i metadati del processo. Le modifiche cosmetiche vengono apportate ai bit che non sono vitali per il processo in esecuzione e vengono apportate modifiche significative ai bit che eseguono il processo. Ma se apporti delle modifiche "in modo che non vengano nemmeno riconosciute" a uno strumento forense, molto probabilmente avrai apportato delle modifiche in modo che non vengano riconosciute come un processo dal funzionamento sistema.
In altre parole, il rootkit è costretto a fare in modo che il processo segua le regole abbastanza da permetterne l'esecuzione - e per lo stesso motivo, seguirà sempre le regole abbastanza da consentire a Volatility di esplorarlo.
In effetti, un sacco di ciò che fa la Volatilità è cercare incongruenze che sono insolite in un processo normale ma sono esattamente il tipo di manomissione che un rootkit farebbe. Oh, guarda, il puntatore di una determinata chiamata di sistema punta allo userspace, non a kernelspace come dovrebbe! Questo è un regalo.
Ora, ho detto "non proprio ..." La volatilità ha un numero di plugin predefiniti che seguono le regole per trovare cose fuori posto. È possibile scrivere un nuovo rootkit che non è immediatamente evidente a questi plugin? Sicuro. Le persone intelligenti escogitano nuovi trucchi tutto il tempo. Ma gli sviluppatori e gli utenti intelligenti e intelligenti di Volatility trovano queste cose: è possibile scorrere la memoria manualmente con Volatility, non si è costretti da ciò che i plug-in esistenti pensano di dover cercare e scrivono nuovi plug-in che riconoscono la nuova evasione.
L'addestramento forense SANS utilizza la tagline "Il malware può nascondersi, ma deve essere eseguito." Perché funzioni, deve seguire alcune delle regole del SO. E quando lo fa, si mette sulla mappa che Volatility identifica ed esplora.
(piccola eccezione: ho sentito storie dell'orrore sull'hardware che ha visitato la Cina e sono tornato con manomissioni che l'hanno lasciato a casa beacon senza prove nella memoria di sistema. Se lasci che il nemico apporti modifiche al tuo hardware, allora possono andare oltre analisi della memoria, ma è un club piuttosto raro ed esclusivo.