Atsevišķos legālos izstrādājumos tiek izmantotas sistēmlaužņu (rootkit) tehnoloģijas, taču, ja šīs programmatūras ir izstrādātas pavirši, hakeri var izmantot šīs metodes savām vajadzībām – lai noslēptu kaitīgās programmatūras veiktās sistēmas modifikācijas. Kaspersky Lab antivīrusu eksperts Vjačeslavs Rusakovs ir veicis sistēmlaužņu izmantošanas legālos izstrādājumos risku analīzi un par rezultātiem informē savā rakstā.
Kaspersky Lab eksperts uzskata, ka sistēmlaužņu tehnoloģiju izmantošana ir saistīta ar lielu atbildību. Pavirši īstenoti algoritmi var izraisīt ļoti bēdīgas sekas, tostarp sabojāt operētājsistēmas aizsardzības sistēmu. Vissliktākajā variantā tas izpaužas kā legālo programmatūru sistēmlaužņu tehnoloģiju izmantošana, lai noslēptu sistēmā jebkādus objektus.
Viens no legālo izstrādājumu, kuros ir izmantotas sistēmlaužņu tehnoloģijas, populāriem piemēriem ir uzņēmuma Sony sistēma aizsardzībai pret audio kompaktdisku kopēšanu. 2005. gadā izcēlās sensacionāls skandāls: atklājās, ka kaitīgās programmatūras varēja izmantot šo aizsardzības sistēmu savu komponentu slēpšanai.
Izmantojot mākoņpakalpojumu Kaspersky Security Network, pētījuma autors ir atklājis vairākas legālās programmatūras, kas izmanto sistēmlaužņu tehnoloģijas. Pakalpojums KSN ļauj apkopot statistiku par dažādām anomālijām lietotāju datoros, piemēram, slēptajiem objektiem (cietā diska sektoriem, datnēm, direktoriju atzariem un citiem).
Pētījuma gaitā tika izanalizētas četras šādas programmatūras: COMODO Time Machine, Norton GoBack, RestoreIT un PC Back Pro/Rollback Rx. Visi šie izstrādājumi ir sistēmas pēcavārijas atjaunošanas utilītprogrammas, visās ir ieviesta iespēja palaist īpašu atjaunošanas konsoli pirms operētājsistēmas sāknēšanas. Šīs iespējas nodrošināšanai visos gadījumos ir izmantots MBR (pamatsāknēšanas ieraksta) modificēšanas mehānisms.
Pārbaužu rezultātā visās programmatūrās tika konstatēta MBR nomaiņa nolasīšanas laikā, ko īsteno diska steka filtra draiveris. Nolasot MBR, tiek pasniegts MBR saturs pirms modificēšanas, t. i., viltotais saturs. Vienlaikus ierakstīšana MBR ir vai nu aizliegta, vai arī filtra draiveris novirza pieprasījumu, un ierakstīšana notiek citā vietā, bet modificētais MBR paliek neskarts.
Izmantojot šīs programmatūras, lietotājs var nonākt situācijā, kurā viņam nav iespējas uzzināt par MBR inficēšanu, un kaitīgās programmatūras tiks paslēptas datorā, izmantojot legālu utilītprogrammu. Tāpat, rodoties nopietnām problēmām, var nenostrādāt sistēmas atrites programmatūra, bet sekciju rediģēšanas rīku izmantošana var izraisīt sistēmas darbspējas zudumu.
Lai gan MBR modificēšanas mehānisms ir pilnīgi legāls, Kaspersky Lab eksperts uzskata, ka tā īstenošanā legālās programmatūrās ieteicams pilnīgi atteikties no sistēmlaužņu tehnoloģijām un izmantot citus algoritmus.
«Pilnīgi noteikti pastāv arī citi līdzīgi izstrādājumi, par kuriem mēs pagaidām nezinām, un tie var izmantot tādas pašas diezgan apšaubāmas funkcijas,» uzskata Vjačeslavs Rusakovs. «Pastāv arī teorētiska iespēja izmantot minētos kodola režīma draiverus prettiesiskiem mērķiem, tas ir, lai slēptu MBR inficēšanas faktu, un ciparparaksts šajā gadījumā tikai pasliktinās stāvokli. Izmantojot noteiktas zināšanas un rīkus, hakeriem nebūs grūti parsēt draiveru darbības algoritmu.»