Attualmente sto studiando tecniche di replicazione del malware per raccogliere informazioni per la codifica di un antivirus. Un malware (se eseguito) può creare un duplicato di se stesso nella directory di avvio con l'attributo di file nascosto per renderlo più difficile da rilevare dagli utenti e, in caso affermativo, come ottenerlo nel codice?
Sì, con vulnerabilità e privilegi appropriati, un malware che tenta di nascondersi dal rilevamento anche dai programmi di sicurezza è chiamato rootkit.
Possono farlo modificando il sistema operativo stesso o, a volte, il firmware nell'hardware, in modo che il sistema operativo e l'hardware si trovino all'utente e ad altri programmi. Ad esempio, un rootkit può sostituire il codice nel kernel che restituisce l'elenco delle directory per escludere i suoi file.
In generale, un rootkit dovrebbe in qualche modo ottenere privilegi di amministratore prima di installarsi abbastanza profondamente da diventare non rilevabile, di solito attraverso altre vulnerabilità o inducendo l'utente a eseguirlo con privilegi di amministratore.
I malware che funzionano a questo livello di furtività sono molto rari, poiché sono difficili da scrivere e la maggior parte dei malware ha abbastanza successo anche quando non sono così nascosti.