Ungeachtet der scheinbar schwierigen Erkennung der Rootkits, gibt es bereits effektive Methoden, diese Schadprogramme zu bekämpfen.
Praktisches Beispiel für ein Anti-Rootkit-Programm:
Als Ergebnis des FU-Rootkits verschwand der Prozess "notepad.exe" aus System, ohne seine Tätigkeit tatsächlich einzustellen. Antirootkit-Funktionen erkennen dieses Verbergen jedoch und das Antiviren-Programm gibt an Anwender eine entsprechende Warnung aus (Abbildung 5).
Das entwickelte Subsystem entdeckt nicht nur bereits in die Antivirus-Dateien aufgenommene Rootkits auf dem Anwendercomputer, sondern auch unbekannte Schadprogramme.
Ein ähnliches Subsystem gibt es auch zum Erkennen von Rootkits im Anwender-Modus. Diese schalten sich wie oben dargestellt in den Kommunikationsprozess mit den DLLs ein und manipulieren diesen. Das neue Subsystem informiert in diesem Fall den darüber, dass ein konkreter Prozess versucht, Code in einen fremden Adress-Bereich einzuschleusen (Abbildung 6).
Rootkit-Technologien für Unix
Die Situation unter erinnert sehr an die unter Windows. Der Angreifer installiert das Rootkit auf dem Computer nachdem er einen privilegierten Zugang via "root" erhalten hat. Root-Rechte, erforderlich für die Installation der überwiegenden Mehrheit der Rootkits, erhält der Übeltäter über die Ausnutzung bekannter Sicherheitslücken, wenn er Zugang zum System mit gewöhnlichen Anwenderrechten hat.