Un rootkit necesita llevar a cabo unas tareas que podríamos considerar “típicas”, como adquirir derechos de root, modificar llamadas básicas al sistema operativo, falsear sistemas de reporte de datos del sistema… Todas estas tareas, una a una, entrañan poco peligro. Pero todas juntas, llevadas a cabo por el mismo programa, nos dan información clara de que algo extraño está pasando en el ordenador.
Si tal y como decíamos antes, las soluciones antivirus fracasan definitivamente a la hora de detectar un rootkit, las nuevas tecnologías de detección de amenazas por comportamiento tienen su mejor prueba de eficacia en la detección y bloqueo de rootkits. Estas tecnologías no basan su funcionamiento en condicionantes previamente aprendidos sobre patrones cerrados de identificación de amenazas. Su éxito se basa en la investigación inteligente y automática de la situación de un proceso en un ordenador.
Cuando una serie de acciones se llevan a cabo sobre el sistema y todas ellas (o, al menos, alguna) pueden suponer un riesgo para la integridad de la información o el correcto funcionamiento de la máquina, se evalúan una serie de factores que sirven para calificar la peligrosidad de esas tareas Por ejemplo, que un proceso quiera tomar derechos de administración en un sistema puede ser más o menos habitual. E implica un cierto riesgo, sin duda, pero no hay que alertar por ello. Un simple instalador para un juego puede necesitar solicitar derechos de administrador para poder llevar a cabo las modificaciones necesarias y poder ejecutarse correctamente.
También puede suceder que un determinado proceso deba permanecer oculto, ya que no existe posibilidad de interacción, o que un determinado proceso abra un puerto en concreto para comunicarse, o que registre pulsaciones de teclas. Pero todas esas características juntas hacen que el proceso se pueda considerar como una amenaza y sea necesario un análisis es profundidad para poder autorizar la ejecución de manera segura.
En este momento es cuando las tecnologías preventivas entran en acción, ya que su misión es precisamente vigilar los procesos y evaluar la peligrosidad de los mismos. En caso de que sean realmente dañinos, lo bloquearán y enviarán una muestra para su análisis.