Rootkit-Suche unter Solaris 10 - Gedankenspiel

Manchmal ist Microsoft ja garnicht so doof. Ghostbuster ist ziemlich gut. Microsoft ist in der Regel nur davon fehlgeleitet, dem Benutzer auch auf Preis der Sicherheit noch Komfort-Funktionen anzubieten.
Wie gesagt, Ghostbuster ist recht brauchbar. Aber die Idee kann man weiterentwickeln, wenn man Solaris 10 benutzt. Das Dumme an der Ghostbuster-Lösung ist, das man dafuer den Rechner anhalten muss.
Jetzt stelle man sich vor, man möchte überprüfen, ob eine Solaris 10 Zone gerootet worden ist. Man laesst man in der zu prüfenden Zone und in der globalen Zone ein Script ablaufen, das die Inode-Informationen und Fileinhalte via SHA-1-Hashes vergleicht. Das Filesystem innerhalb einer einzelnen Zone ist ja in der globalen Zone ebenfalls sichtbar, da die lokale Zone ja entfernt sowas wie einen chroot auf einen Teilbaum des Filesystems der globalen Zone macht und damit sein eigenes Filesystem auspraegt.
Abweichungen zwischen globaler Zone und der einzelnen Zone bedeuten, das irgendwas in der Zone verdaechtig ist, und das irgendwas im laufenden Systemen den wahren Inhalt von einigen Dateien verschleiert.
Das Ganze funktioniert zur Laufzeit des System ohne es zu stoppen und kann somit im Grunde genommen ständig nebenher durchgeführt werden. Ich werd das mal ausprobieren. Frage ist aber eh, in wie weit eine Zone ueberhaupt anfaellig ist. Auch eine Sache zum Ausprobieren.