2/13 にあった SA 勉強会の資料を塩月さんが公開されています。
アンチ・フォレンジック
http://www.st.rim.or.jp/~shio/sa/sa2005_shio.pdf
後半はどっぷり rootkit の話題ですが、カーネルモードの rootkit を検出できる Windows 用のツールとしては Kntlist もあります。ちなみに、VMware では動きません。<追記>
RSA Security Conference 2005 でも rootkit の話題が出ていたようですね。
http://www.itmedia.co.jp/enterprise/articles/0502/18/news027.html