1. Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.
    Если у вас возникли проблемы с регистрацией на форуме - то вы можете сообщить об этом с помощью этой формы без авторизации,администрация форума обязательно отреагирует на вашу проблему.
    Скрыть объявление

Что такое Rootkit

Тема в разделе "Подготовительное отделение", создана пользователем antispy, 28 окт 2008.

  1. antispy

    antispy Активный пользователь

    Сообщения:
    107
    Симпатии:
    452
    Rootkit (руткит, от англ. root kit, то есть «набор root'а») — программа или набор программ для скрытия следов присутствия злоумышленника или вредоносной программы в системе.

    Термин Rootkit исторически пришёл из мира UNIX, и под этим термином понимается набор утилит или специальный модуль ядра, которые взломщик устанавливает на взломанной им компьютерной системе сразу после получения прав суперпользователя. Этот набор, как правило, включает в себя разнообразные утилиты для «заметания следов» вторжения в систему, сниферы, сканеры, кейлоггеры, троянские программы, замещающие основные утилиты UNIX (в случае неядерного руткита). Rootkit позволяет взломщику закрепиться во взломанной системе и скрыть следы своей деятельности путём сокрытия файлов, процессов а также самого присутствия руткита в системе.

    Rootkits могут прятать от пользователя файлы, папки и ключи реестра, скрывать запущенные программы, системные службы, драйверы и сетевые соединения. Т.е. злоумышленник имеет возможность создавать файлы и ключи реестра, запускать программы, работать с сетью и эта активность не будет обнаружена администратором. Rootkits могут скрывать сетевую активность путем модификации стека протоколов TCP/IP.

    Использовались материалы статьи Rootkit
     
    1 человеку нравится это.
  2. Alex56

    Alex56 Активный пользователь

    Сообщения:
    33
    Симпатии:
    303
    О понятии "ROOTKIT"

    О понятии "ROOTKIT"

    Само понятие изначально использовалось исключительно в мире UNIX, где под 'Руткитом' подразумевали набор утилит, устанавливаемый на взломанном компьютере после получения прав суперпользователя, что впоследствии позволяло полностью скрыть следы какой-либо хакерской деятельности.


    Суперпользователь или ROOT (отсюда и название) - это особый аккаунт в UNIX-системах, у владельца которого есть привилегии на выполнение всех без исключения операций.
    В операционных системах Microsoft Windows под термином "RootKit" принято понимать программу или даже программный код, направленный на маскировку или сокрытие заданных объектов в системе.
    Подобное осуществляется различными методами: в первую очередь с помощью перехвата базовых функций ОС (Win32 или Native API), изменением содержимого системных таблиц процессора (GDT, LDT, IDT) и модификаций системных структур операционной системы.
    Т.е. благодаря руткиту можно скрыть всё, что позволило бы обнаружить на компьютере постороннее приложение: любые разделы реестра, процессы, папки и файлы, открытые порты TCP/UDP и т.д.

    В качестве простого примера: перехват функции поиска файла на диске позволяет исключить маскируемые файлы из результатов этого поиска...
    Также стоит заметить, что подобные технологии применяются не только вредоносными приложениями.
    Одним из наиболее известных примеров по этой части является антикопировальный механизм корпорации SONY, основанный на скрытой установке в систему программы, драйвера и папки для файлов (все это становилось абсолютно невидимым с помощью руткита).
     
    11 пользователям это понравилось.
  3. Alchi09

    Alchi09 Активный пользователь

    Сообщения:
    1
    Симпатии:
    0
    Alex56, спс никогда даже не догадывался что это такое.
     
  4. MotherBoard

    MotherBoard Гость

    Если я не ошибаюсь,то красные строчки в отчёте АVZ...Где в конце строки указано: Перехватчик неопределён... - это и есть руткинты?
     
  5. Sergei

    Sergei Активный пользователь

    Сообщения:
    398
    Симпатии:
    575
    необязательно.. ето могут быть легальные драйверы
     
  6. MotherBoard

    MotherBoard Гость

    То есть отчёт о функциях,где после перечисления пишут:найдено 6,восстановлено 0
    - это не перехватчики - а драйвера???
     
  7. akok

    akok Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    13.681
    Симпатии:
    14.868
    NFORCE4, это количество снятых перехватов перехватов.
     
    2 пользователям это понравилось.
  8. MotherBoard

    MotherBoard Гость

    А оно серьёзно? Я на компе с z-conect наблюдала до 40... и выше:sorry:
     
  9. akok

    akok Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    13.681
    Симпатии:
    14.868
    Не все перехваты одинаково вредоносны. Касперский дает тоже не мало перехватов.
     
    1 человеку нравится это.
  10. MotherBoard

    MotherBoard Гость

    Уже поняла,что это не самое первое,на что надо обращать внимание...
    Список перехватчиков - ещё не повод генерировать скрипт!
    Есть более важные вещи в протоколе,чем перехватчики - руткинты,далее-молчу...
     
  11. voron5

    voron5 Активный пользователь

    Сообщения:
    35
    Симпатии:
    13
    Не все перехватчики - руткиты-вредоносы. Легитимные перехваты тоже могут использовать руткит-технологии - вот о чём речь выше.
     
    Последнее редактирование: 12 фев 2010
  12. gecsagen

    gecsagen Активный пользователь

    Сообщения:
    70
    Симпатии:
    2
    Все-таки руткит-это очень сложная технология(именно технология) сокрытия вирусов(или действий хакера).На ровне с буткитом они являются самыми мощными инструментами хакеров.Руткиты используются как правило для "больших" людей, а не для простых смертных.
     
  13. akok

    akok Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    13.681
    Симпатии:
    14.868
    ? с каких это пор. Руткит технологии используют все кому не лень, только одни используют то, что лежит в паблике и такую "маскировку" легко заметить, а другие используют штучные экземпляры для
     
  14. gecsagen

    gecsagen Активный пользователь

    Сообщения:
    70
    Симпатии:
    2
    akoK, Я это и имел ввиду что для особых случаев пишутся индивидуальные руткиты,которые более сложны как в написании так и в обнаружении.
     
  15. akok

    akok Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    13.681
    Симпатии:
    14.868
    И я об этом ) Вот и пришли к общему знаменателю.
     
    1 человеку нравится это.
  16. Сергей

    Сергей Активный пользователь

    Сообщения:
    280
    Симпатии:
    129
    Но, тем не менее, они ибнаруживаются, если имя предворительно известно.
    Если Dir("C:\1\*.exe") дает пустой результат (то есть говорит, что программ в папке нет), а на самом деле там есть заруткитченный 2.exe,
    то fso.FileExists("C:\1\2.exe") дает результат True (видит, что есть)
     
    Dragokas нравится это.
Загрузка...

Поделиться этой страницей

Загрузка...