> Вы уж как нибудь определитесь - то ли труднообружимые, то ли неуловимые.

Идеальный сферический руткит в вакууме по технологии Рутковской поймать должно быть нельзя совсем. Реальный правда скорее всего будет иметь слабости реализации, вызываюшие те или иные аномалии в системе, позволяющие понять что нас немного надувают. Т.к. предусмотреть абсолютно все в рутките - крайне сложно.

> Руткиты на основе виртуализации, как и сама виртуализация, обнаруживаются легко.

Во первых, не так уж и легко. С точки зрения guest-системы в идеальном случае руткитов "нет". Поэтому честные не-хакерские и 100% надежные методы отлова существовать вообще не обязаны. Насколько я помню, BluePill лопили тайминг-атакой, что, конечно, вариант, но очень уж ненадежный: чем аккуратнее себя ведет руткит, тем сложнее его так поймать и выше риск ложных тревог. У вас есть какой-то иной, принципиально новый (tm) метод поимки руткитов типа BluePill? Ну ладно, черт с вами, хотя-бы просто надежный метод автоматически обнаружить любой тип виртуализации? А в 2 словах суть революционного прорыва? Из того что я не знал до вас? :)

Кстати, есть еще и всякие "прикольные" фичи типа обработчика SMM (спасибо интелу за всеми забытый зонд, хаха). Вот вы знаете что он там вообще делает? Он может отобрать у вашей ос управление на некое время а т.к. это кусок биоса, вы даже не знаете толком что оно там и когда делает. А что если там немного руткит поработает? Этот режим процессора - кольцом ниже чем ваш ring0, поэтому в общем случае вы ничего не заметите. Опять же, есть косвенные методы отлова, типа попыток заметить аномально большие потери времени процессора, линух в этом случае например паникует, но нетрудно догадаться что чем аккуратнее сделан довесок к легитимному обработчику, тем менее он будет заметен ;)

>> Можете лучше? Докажите. Делом. Тявкание на форуме
> А вы можете снести яйцо? Нет? Так наверно и покупаете тухлые.

У рутковской они не тухлые, они просто с скорлупой из миллиметровой нержавеющей стали :). А то что их такие чистить геморно - ну извините. Зато не бьются будучи уронеными из корзинки на пол. А вы хотели все и сразу? :)

> Придумайте аргументацию что ли получше, а то эта логика протухла хуже яиц.

Осталось только придумать нафига б мне что-то аргументировать. Я представляю себе как работают руткиты от этой "Руткитской", мне этого достаточно чтобы понимать что такую штуку поймать - не очень просто и что отлов такой штуки вполне может записать себе в персональные достижения неглупый системщик, а не то что типовой юзер или админ-эникеец, которые против такого вообще без шансов :))