Quando si sospetta che un sistema sia infetto, una delle misure spesso raccomandate per la pulizia del sistema (senza in realtà adottare l'approccio "nuke from orbit") consiste nell'esplorare l'unità con strumenti anti-malware da un sistema affidabile affidabile . Il modo in cui questo viene normalmente realizzato è rimuovendo l'unità dal sistema sospetto e collegandola esternamente o internamente (come unità non di sistema) al sistema affidabile. Tuttavia, in teoria, un'opzione alternativa sarebbe quella di eseguire la scansione del sistema sospetto attraverso la rete.
Ad esempio, su un sistema Windows, un amministratore può leggere l'intero contenuto dell'unità di sistema tramite la condivisione integrata \hostname\C$
. Un mapping di unità in rete può essere effettuato dal sistema fidato alla condivisione C $ del sistema sospetto, quindi i programmi antimalware possono essere eseguiti sull'unità mappata.
La scansione di un file system remoto in questo modo equivale in modo efficace a una scansione offline dell'unità? Oppure, dal momento che il sistema operativo del sistema sospetto è ancora in esecuzione, ci sono modi comuni in cui i rootkit possono ancora nascondere la loro presenza dal sistema utilizzato per la scansione in rete che non sarebbe possibile se il sistema sospetto fosse effettivamente offline?
Ovviamente, "nuke from orbit" è, come si suol dire, "l'unico modo per essere sicuri". Tuttavia, questa opzione non è in ambito per questa domanda. Sto solo chiedendo se una scansione remota di un file system è altrettanto efficace contro i rootkit come una scansione offline reale dello stesso sistema.