Se ho il root su un sistema e voglio davvero nascondere un file, la risposta ovvia è un rootkit, che può nascondere tutti i file che voglio da quasi tutti i rilevamenti, agganciando le letture del filesystem ecc. I rootkit sono incredibilmente difficili da trovare in un normale ambiente di lavoro, poiché non puoi fidarti di nulla che il sistema operativo segnala. Se hai Tripwire su un sistema, che funziona correttamente e monitora l'intero filesystem, l'installazione di un rootkit dovrebbe essere rilevata, tuttavia se un utente malintenzionato può ottenere il root e ha accesso ai sistemi Tripwire, tutte le scommesse sono annullate.
Ciò che è molto più probabile in pratica, tuttavia, è che i file siano nascosti nelle profondità del filesystem, forse sotto. directory in modo che non vengano mostrate a un normale ls, o forse come file dal nome innocuo. La cosa buona è che più amministratori di Linux sembrano sapere quali file dovrebbero esistere rispetto agli amministratori di Windows, probabilmente più dovuto al fatto che Windows è gestito tipicamente tramite una GUI, tuttavia con un maggiore utilizzo di Powershell questo sta cambiando.
Scrivere file su una parte inutilizzata di un disco può funzionare, tuttavia in un ambiente aziendale si tende a trovare i dischi completamente utilizzati, quindi un utente malintenzionato dovrebbe prima alterare una partizione o trovare un modo per nascondere l'uso di una sezione di esistente filesystem. Succede, ma non così spesso come potresti pensare.
La steganografia non è molto usata. Gli eseguibili dannosi si trovano in file dall'aspetto innocuo, ma di solito come un vettore, non nell'archivio.
In sintesi, dal punto di vista dei difensori, proteggi root, applica regolarmente patch e usa Tripwire o un equivalente.