Barrapunto

Un troyano en ring 0 en windows es invisible a los antivirus, detectores de malware y demás porque dicho software sólo puede actuar en espacio de usuario

Y ahora que caigo. Esto, es mentira. Todos los antivirus (excepto los que son unicamente analizadores de ficheros bajo demanda) disponen al menos de un driver (filtro de ficheros) para interceptar las llamadas y analizar los ejecutables que se quieren lanzar sobre la marcha.

Adicionalmente, como eso, se queda corto, la gran mayoria disponen de otros sistemas de proteccion (para aplicaciones) como filtrado de algunas llamadas a Win32k.sys (cerrar ventanas, crear threads remotos,etc) como por ejemplo el infame Mcaffe.. y otros incluso siendo desconocidillos tienen caracteristicas mas avanzadas, como por ejemplo, un driver de boot que examina todo el proceso de arranque en busca de "drivers y codigo malicioso de ring 0".. como por ejemplo el Rising Antivirus (que encima, que yo recuerde, en su version home y demas bla bla bla, es gratuito)

Si es cierto que durante mucho tiempo "pasaron" de los "rootkits" pero debido al incremento de incidencias muchos ya han introducido codigo para realizar analisis similares a los que proporcionan herramientas especificas para detectar este tipo de "troyanos" (cosas como el Rustok, que por ejemplo, si buscas, hasta el Shopos elimina).

Y ahora que caigo. Esto, es mentira. Todos los antivirus (excepto los que son unicamente analizadores de ficheros bajo demanda) disponen al menos de un driver (filtro de ficheros) para interceptar las llamadas y analizar los ejecutables que se quieren lanzar sobre la marcha.

Claro y esto es mentira dado que para interceptar las llamadas necesita usar las llamadas del núcleo subyacente que si están modificadas (syscall hooking) lo que le devuelva el núcleo está manipulado.

Porque te repito que no te enteras que un rootkit en ring 0 NO NECESITA CAMBIAR BINARIOS