Archim hat in seinem Vortrag die Möglichkeiten vom Solaris-Debugger dtrace beleuchtet. Sehr interessant war, dass man damit belibige Funktionen und deren Parameter von Programmen im Userspace beschnüffeln kann. So auch die Signierfunktion von gpg: bösartige Roots oder Nutzern von Rootkits können damit elegant die Passphrasen der Nutzer abgreifen. Es ging außerdem um neuere Rootkit-Techniken und das Aufspüren solcher Angriffe.