A rootkitek olyan kártékony szoftverek, melyek fejlett rejtőzködési technikákat alkalmaznak annak érdekében, hogy nehéz legyen jelenlétüket kimutatni egy fertőzött számítógépen. Értelemszerűen, fontos feladat a rootkitek detektálására alkalmas technikák, megoldások fejlesztése és vizsgálata. Rootkit detekcióra több hozzáállás is létezik, ezek közül jelen feladat fókuszában azok a megoldások állnak, melyek kizárólag az OS kernelének egy adott pillanatban rögzített memória képében, egy ún. memória snapshotban próbálnak rootkit jelenlétére utaló nyomokat, anomáliákat azonosítani. Ezek a megoldások jól alkalmazhatóak olyan beágyazott eszközökön, ahol egy megbízható végrehajtási környezetben futó megbízható alkalmazás bizonyos időközönként megkapja a vezérlést, és hozzáfér a nem megbízható környezetben futó OS kernel memóriájának pillanatnyi képéhez.

A hallgató feladat a szakirodalom áttekintése, egy memória snapshot alapú rootkit detekciós módszer kiválasztása, megértése, és fontosabb részeinek implementálása proof-of-concept jelleggel beágyazott Linux környezetben. Nem elvárás az OS kernel integritásának folyamatos monitorozása, de szükséges azon OS kernel struktúrák feltárása, melyeket egy rootkit potenciálisan módosíthat, és ezen struktúrák helyének meghatározása a kernel memória képében. Ilyen struktúrák lehetnek például a kernelben implementált függvények címeit tartalmazó struktúrák, melyeket egy rootkit átírhat a vezérlési folyam megváltoztatása céljából. A feladat része továbbá az elkészült implementáció működésének szemléltetése.