A rootkit-ek olyan kártékony szoftverek, melyek fejlett rejtőzködési technikákat alkalmaznak annak érdekében, hogy nehéz legyen jelenlétüket kimutatni egy fertőzött számítógépen. Értelemszerűen, fontos feladat a rootkit-ek detektálására alkalmas technikák, megoldások fejlesztése és vizsgálata. Rootkit detekcióra több hozzáállás is létezik, ezek közül jelen feladat fókuszában azok a megoldások állnak, melyek kizárólag az OS kernelének egy adott pillanatban rögzített memória képében, egy ún. memória snapshot-ban próbálnak rootkit jelenlétére utaló nyomokat, anomáliákat azonosítani. Ezek a megoldások jól alkalmazhatóak olyan beágyazott IoT eszközökön, ahol egy megbízható végrehajtási környezetben futó megbízható alkalmazás bizonyos időközönként megkapja a vezérlést, és hozzáfér a nem megbízható környezetben futó OS kernel memóriájának pillanatnyi képéhez.

A hallgató feladata magában foglalja a szakirodalom áttekintését; a rootkit-ek jellemző rejtőzködési technikáinak megismerését és összefoglalását; rootkit detekcióra alkalmas algoritmusok tervezését, melyek az OS kernel és az éppen futó folyamatok integritásának ellenőrzésére, valamint a futó folyamatokkal kapcsolatos OS kernel adatstruktúrák konzisztenciájának ellenőrzésére épülnek; a megtervezett algoritmusok implementációját, tesztelését, és validációját. Az algoritmusok tervezésénél figyelembe kell venni, hogy azok egy izolált, megbízható végrehajtási környezetben fognak futni, ahonnan a vizsgált OS és a futó folyamatok memóriaképe elérhető, de az OS és a folyamatok viselkedése futás közben nem figyelhető meg. Az implementációnak az OP-TEE-t kell használnia, mint megbízható végrehajtási környezet, az ellenőrzött OS pedig Linux legyen. A validáció során ellenőrizni kell, hogy a megoldás valóban képes rootkit-eket detektálni; ezt valódi vagy erre a célra fejlesztett, proof-of-concept rootkit-ekkel lehet megvalósítani.