Edgar Barbosa написал любопытный документ, в котором описывается метод обхода механизма анализа пути выполнения (Execution Path Analysis), который применяется в утилите PatchFinder для обнаружения руткитов в ОС Windows 2k/XP. Для версии Linux будет выпущен позже. Документ доступен в PDF-формате.
Скачать - http://www.geocities.com/embarbosa/bypass/bypassEPA.pdf