Антивирус говорит «чисто», а трафик утекает на C2. Kernel-mode руткит работает на одном уровне привилегий с ОС — и видит всё, что видит система.Руткиты — меньше 1% вредоносных программ, но каждый случай это серьёзный инцидент: APT-кампании, скрытый майнинг. DKOM удаляет процесс из ActiveProcessLinks — он живёт, но невидим...
Rootkit обнаружение Windows: DKOM, SSDT hooking, minifilter и callback-манипуляции через WinDbg и Volatility
Источник: codeby.net