Autor sugeruje, że możliwe jest zainstalowanie złośliwego kodu w pamięci tzw. "expansion ROM" wbudowanej w wiele kart PCI, np. karty graficzne czy sieciowe, które mają funkcję aktualizacji firmware. Kod ten uruchamia się podczas startu komputera, jeszcze przed uruchomieniem jądra systemu. Problem jest późniejsze "przywrócenie do życia" kodu rootkita po tym, jak system uruchomi się w trybie chronionym ale autor zlokalizował w kernelu NT odpowiednie wywołania, które to umożliwiają.

Z punktu widzenia autora konia trojańskiego jednym z najpoważniejszych problemów implementacyjnych jest przetrwanie rebootu systemu - zwłaszcza, że może on oznaczać sprawdzanie systemu jedną z opisanych przez nas metod wykrywania rootkitów ("Rootkit na śniadanie"). Opisana przez Heasmana technika jest potencjalną furtką, pozwalającą na ukrycie się przed antywirusem. Pytanie tylko na jak długo - stworzenie narzędzi do sprawdzania dodatkowych pamięci i integralności ACPI jest kwestią czasu. Jednak ich praktyczne wdrożenie do komercyjnych produktów może potrwać znacznie dłużej - wykrywanie rootkitów pojawiło się dopiero w 2006 roku w polskim Arcabicie i F-Secure.

Więcej: John Heasman, "Implementing and Detecting a PCI Rootkit", NGSSoftware 2006

Inny podobny atak wykorzystujący funkcje płyty głównej i CPU opisywaliśmy w kwietniu b.r.

("Włamanie przez przegrzanie").