Что такое Rootkit

antispy

Активный пользователь
Сообщения
103
Симпатии
251
Баллы
453
#1
Rootkit (руткит, от англ. root kit, то есть «набор root'а») — программа или набор программ для скрытия следов присутствия злоумышленника или вредоносной программы в системе.

Термин Rootkit исторически пришёл из мира UNIX, и под этим термином понимается набор утилит или специальный модуль ядра, которые взломщик устанавливает на взломанной им компьютерной системе сразу после получения прав суперпользователя. Этот набор, как правило, включает в себя разнообразные утилиты для «заметания следов» вторжения в систему, сниферы, сканеры, кейлоггеры, троянские программы, замещающие основные утилиты UNIX (в случае неядерного руткита). Rootkit позволяет взломщику закрепиться во взломанной системе и скрыть следы своей деятельности путём сокрытия файлов, процессов а также самого присутствия руткита в системе.

Rootkits могут прятать от пользователя файлы, папки и ключи реестра, скрывать запущенные программы, системные службы, драйверы и сетевые соединения. Т.е. злоумышленник имеет возможность создавать файлы и ключи реестра, запускать программы, работать с сетью и эта активность не будет обнаружена администратором. Rootkits могут скрывать сетевую активность путем модификации стека протоколов TCP/IP.

Использовались материалы статьи Rootkit
 

Alex56

Активный пользователь
Сообщения
30
Симпатии
169
Баллы
443
#2
О понятии "ROOTKIT"

О понятии "ROOTKIT"

Само понятие изначально использовалось исключительно в мире UNIX, где под 'Руткитом' подразумевали набор утилит, устанавливаемый на взломанном компьютере после получения прав суперпользователя, что впоследствии позволяло полностью скрыть следы какой-либо хакерской деятельности.


Суперпользователь или ROOT (отсюда и название) - это особый аккаунт в UNIX-системах, у владельца которого есть привилегии на выполнение всех без исключения операций.
В операционных системах Microsoft Windows под термином "RootKit" принято понимать программу или даже программный код, направленный на маскировку или сокрытие заданных объектов в системе.
Подобное осуществляется различными методами: в первую очередь с помощью перехвата базовых функций ОС (Win32 или Native API), изменением содержимого системных таблиц процессора (GDT, LDT, IDT) и модификаций системных структур операционной системы.
Т.е. благодаря руткиту можно скрыть всё, что позволило бы обнаружить на компьютере постороннее приложение: любые разделы реестра, процессы, папки и файлы, открытые порты TCP/UDP и т.д.

В качестве простого примера: перехват функции поиска файла на диске позволяет исключить маскируемые файлы из результатов этого поиска...
Также стоит заметить, что подобные технологии применяются не только вредоносными приложениями.
Одним из наиболее известных примеров по этой части является антикопировальный механизм корпорации SONY, основанный на скрытой установке в систему программы, драйвера и папки для файлов (все это становилось абсолютно невидимым с помощью руткита).
 

Alchi09

Активный пользователь
Сообщения
1
Симпатии
0
Баллы
381
#3
Alex56, спс никогда даже не догадывался что это такое.
 
M

MotherBoard

#4
Если я не ошибаюсь,то красные строчки в отчёте АVZ...Где в конце строки указано: Перехватчик неопределён... - это и есть руткинты?
 

Sergei

Активный пользователь
Сообщения
382
Симпатии
285
Баллы
483
#5
необязательно.. ето могут быть легальные драйверы
 
M

MotherBoard

#6
То есть отчёт о функциях,где после перечисления пишут:найдено 6,восстановлено 0
- это не перехватчики - а драйвера???
 
M

MotherBoard

#10
Не все перехваты одинаково вредоносны. Касперский дает тоже не мало перехватов.
Уже поняла,что это не самое первое,на что надо обращать внимание...
Список перехватчиков - ещё не повод генерировать скрипт!
Есть более важные вещи в протоколе,чем перехватчики - руткинты,далее-молчу...
 

voron5

Активный пользователь
Сообщения
35
Симпатии
7
Баллы
388
#11
Есть более важные вещи в протоколе,чем перехватчики - руткинты...
Не все перехватчики - руткиты-вредоносы. Легитимные перехваты тоже могут использовать руткит-технологии - вот о чём речь выше.
 
Последнее редактирование:

gecsagen

Активный пользователь
Сообщения
70
Симпатии
2
Баллы
178
#12
Все-таки руткит-это очень сложная технология(именно технология) сокрытия вирусов(или действий хакера).На ровне с буткитом они являются самыми мощными инструментами хакеров.Руткиты используются как правило для "больших" людей, а не для простых смертных.
 

akok

Команда форума
Администратор
Сообщения
15,807
Симпатии
12,730
Баллы
2,203
#13
? с каких это пор. Руткит технологии используют все кому не лень, только одни используют то, что лежит в паблике и такую "маскировку" легко заметить, а другие используют штучные экземпляры для
 

gecsagen

Активный пользователь
Сообщения
70
Симпатии
2
Баллы
178
#14
akoK, Я это и имел ввиду что для особых случаев пишутся индивидуальные руткиты,которые более сложны как в написании так и в обнаружении.
 

Сергій

Активный пользователь
Сообщения
362
Симпатии
193
Баллы
123
#16
Но, тем не менее, они ибнаруживаются, если имя предворительно известно.
Если Dir("C:\1\*.exe") дает пустой результат (то есть говорит, что программ в папке нет), а на самом деле там есть заруткитченный 2.exe,
то fso.FileExists("C:\1\2.exe") дает результат True (видит, что есть)
 

Similar Threads

Сверху Снизу