9月26-27日，CCS2021成都网络安全大会（以下简称“CCS2021”）在成都市“中国-欧洲中心”举行，本次大会由四川省互联网信息办公室指导，成都市互联网信息办公室、成都高新区管委会联合主办，该大会是行业知名安全企业共同打造的成都网络安全大会新品牌、新名片，深信服身为国内主要的安全厂商，受邀参与CCS2021，值得一提的是，深信服蓝军高级威胁攻防研究专家肖秋平和马柔忍还在CCS2021新型网络违法犯罪打击防范分论坛中，进行了主题为《Rootkit攻防原理与取证技术》的分享，分析了Rootkit的技术原理和取证的方法思路。
马柔忍在《Rootkit攻防原理与取证技术》的分享中提到，Rootkit攻击的技术栈主要分为用户层、内核层等，相对而言，用户层的Rootkit编写更加简单，受版本的限制会更小，不会因为版本不兼容或者其它错误导致系统崩溃，但它所能达到的效果也更弱，检测起来相对简单，比如通过完整性校验或基于签名的解决方案能有效地检测出文件替换或修改，通过环境变量和配置文件可检测对动态链接库的利用；而内核层的Rootkit处于系统更底层，且拥有更多的技巧来隐藏其攻击痕迹，所以更难以被发现。
 
    由于Rootkit是业内公认的最难检测的隐藏手段，因此其经常被攻击者使用在高质量的APT攻击中。APT攻击往往具有较强的持续性，这需要建立在不被发现的基础之上，攻击者可以通过Rootkit在目标网络中潜伏几个月甚至几年之久，长期监控窃取庞大的情报数据。