Что такое Rootkit

Тема в разделе "Подготовительное отделение", создана пользователем antispy, 28 окт 2008.

  1. antispy
    Оффлайн

    antispy Активный пользователь

    Сообщения:
    107
    Симпатии:
    450
    Rootkit (руткит, от англ. root kit, то есть «набор root'а») — программа или набор программ для скрытия следов присутствия злоумышленника или вредоносной программы в системе.

    Термин Rootkit исторически пришёл из мира UNIX, и под этим термином понимается набор утилит или специальный модуль ядра, которые взломщик устанавливает на взломанной им компьютерной системе сразу после получения прав суперпользователя. Этот набор, как правило, включает в себя разнообразные утилиты для «заметания следов» вторжения в систему, сниферы, сканеры, кейлоггеры, троянские программы, замещающие основные утилиты UNIX (в случае неядерного руткита). Rootkit позволяет взломщику закрепиться во взломанной системе и скрыть следы своей деятельности путём сокрытия файлов, процессов а также самого присутствия руткита в системе.

    Rootkits могут прятать от пользователя файлы, папки и ключи реестра, скрывать запущенные программы, системные службы, драйверы и сетевые соединения. Т.е. злоумышленник имеет возможность создавать файлы и ключи реестра, запускать программы, работать с сетью и эта активность не будет обнаружена администратором. Rootkits могут скрывать сетевую активность путем модификации стека протоколов TCP/IP.

    Использовались материалы статьи Rootkit
     
    1 человеку нравится это.
  2. Alex56
    Оффлайн

    Alex56 Активный пользователь

    Сообщения:
    33
    Симпатии:
    301
    О понятии "ROOTKIT"

    О понятии "ROOTKIT"

    Само понятие изначально использовалось исключительно в мире UNIX, где под 'Руткитом' подразумевали набор утилит, устанавливаемый на взломанном компьютере после получения прав суперпользователя, что впоследствии позволяло полностью скрыть следы какой-либо хакерской деятельности.


    Суперпользователь или ROOT (отсюда и название) - это особый аккаунт в UNIX-системах, у владельца которого есть привилегии на выполнение всех без исключения операций.
    В операционных системах Microsoft Windows под термином "RootKit" принято понимать программу или даже программный код, направленный на маскировку или сокрытие заданных объектов в системе.
    Подобное осуществляется различными методами: в первую очередь с помощью перехвата базовых функций ОС (Win32 или Native API), изменением содержимого системных таблиц процессора (GDT, LDT, IDT) и модификаций системных структур операционной системы.
    Т.е. благодаря руткиту можно скрыть всё, что позволило бы обнаружить на компьютере постороннее приложение: любые разделы реестра, процессы, папки и файлы, открытые порты TCP/UDP и т.д.

    В качестве простого примера: перехват функции поиска файла на диске позволяет исключить маскируемые файлы из результатов этого поиска...
    Также стоит заметить, что подобные технологии применяются не только вредоносными приложениями.
    Одним из наиболее известных примеров по этой части является антикопировальный механизм корпорации SONY, основанный на скрытой установке в систему программы, драйвера и папки для файлов (все это становилось абсолютно невидимым с помощью руткита).
     
    11 пользователям это понравилось.
  3. Alchi09
    Оффлайн

    Alchi09 Активный пользователь

    Сообщения:
    1
    Симпатии:
    0
    Alex56, спс никогда даже не догадывался что это такое.
     
  4. MotherBoard
    Оффлайн

    MotherBoard Гость

    Если я не ошибаюсь,то красные строчки в отчёте АVZ...Где в конце строки указано: Перехватчик неопределён... - это и есть руткинты?
     
  5. Sergei
    Оффлайн

    Sergei Активный пользователь

    Сообщения:
    398
    Симпатии:
    575
    необязательно.. ето могут быть легальные драйверы
     
  6. MotherBoard
    Оффлайн

    MotherBoard Гость

    То есть отчёт о функциях,где после перечисления пишут:найдено 6,восстановлено 0
    - это не перехватчики - а драйвера???
     
  7. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.448
    Симпатии:
    13.950
    NFORCE4, это количество снятых перехватов перехватов.
     
    2 пользователям это понравилось.
  8. MotherBoard
    Оффлайн

    MotherBoard Гость

    А оно серьёзно? Я на компе с z-conect наблюдала до 40... и выше:sorry:
     
  9. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.448
    Симпатии:
    13.950
    Не все перехваты одинаково вредоносны. Касперский дает тоже не мало перехватов.
     
    1 человеку нравится это.
  10. MotherBoard
    Оффлайн

    MotherBoard Гость

    Уже поняла,что это не самое первое,на что надо обращать внимание...
    Список перехватчиков - ещё не повод генерировать скрипт!
    Есть более важные вещи в протоколе,чем перехватчики - руткинты,далее-молчу...
     
  11. voron5
    Оффлайн

    voron5 Активный пользователь

    Сообщения:
    35
    Симпатии:
    13
    Не все перехватчики - руткиты-вредоносы. Легитимные перехваты тоже могут использовать руткит-технологии - вот о чём речь выше.
     
    Последнее редактирование: 12 фев 2010
  12. gecsagen
    Оффлайн

    gecsagen Пользователь

    Сообщения:
    70
    Симпатии:
    2
    Все-таки руткит-это очень сложная технология(именно технология) сокрытия вирусов(или действий хакера).На ровне с буткитом они являются самыми мощными инструментами хакеров.Руткиты используются как правило для "больших" людей, а не для простых смертных.
     
  13. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.448
    Симпатии:
    13.950
    ? с каких это пор. Руткит технологии используют все кому не лень, только одни используют то, что лежит в паблике и такую "маскировку" легко заметить, а другие используют штучные экземпляры для
     
  14. gecsagen
    Оффлайн

    gecsagen Пользователь

    Сообщения:
    70
    Симпатии:
    2
    akoK, Я это и имел ввиду что для особых случаев пишутся индивидуальные руткиты,которые более сложны как в написании так и в обнаружении.
     
  15. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.448
    Симпатии:
    13.950
    И я об этом ) Вот и пришли к общему знаменателю.
     
    1 человеку нравится это.
  16. Сергей
    Оффлайн

    Сергей Активный пользователь

    Сообщения:
    252
    Симпатии:
    120
    Но, тем не менее, они ибнаруживаются, если имя предворительно известно.
    Если Dir("C:\1\*.exe") дает пустой результат (то есть говорит, что программ в папке нет), а на самом деле там есть заруткитченный 2.exe,
    то fso.FileExists("C:\1\2.exe") дает результат True (видит, что есть)
     
    Dragokas нравится это.

Поделиться этой страницей