KprocCheck utilise plusieurs techniques pour cela, les techniques sont détaillées sur le site (anglais) : http://www.security.org.sg/code/kproccheck.html
-p permet de détecter les rootkits effectuant des hooking de SSDT sur l'API ZwQuerySystemInformation.
-s permet de détecter les rootkits qui effectuent un détachement Flink/Blink de l'EPROCESS (DKOM (Direct Kernel Object Manipulation)
-t permet de lister les modules du kernel (drivers)
-g permet de lister les hook GDI sur SSDT
-u décharger le driver KprocCheck.sys
Les essais ont été effectués sur une machine infecté par Rustock (variante xpdt.sys) et Trojan.Wopla (processus koos.exe/Service kprof/proof) et enfin Magic.Control (behcgvj.exe)
Sur cette image on peut voir que KprocCheck -s détecte sans souci le processus koos.exe ainsi que le processus behcgvj.exe
L'option KprocCheck -t permet de visualiser le driver xpdt.sys Rustock