А как устроены линуксовые искалки закладок? Могут ли они работать в потенциально заражённой ОС (как?) или надо обязательно использовать LiveCD?
И таки не должны ли подобные инструменты предоставляться мэнтейнерами дистрибутива? Например загрузившись с LiveCD я мог бы попросить проверить контрольные суммы всех файлов ставившихся из deb'ов.
Руткит детекторы работают из работающей системы. Идеальный Руткит конечно таким образом не задетектить, но Идеальный Руткит ничего делать и не будет помимо сокрытия себя :)
от большинства скрипткиддисовских usermode руткитов вполне достаточно проверки контрольных сумм установленных пакетов
debsums в Debian-based, rpm -V в RH-based
