Что такое Rootkit

antispy

Участник
Сообщения
94
Реакции
255
Rootkit (руткит, от англ. root kit, то есть «набор root'а») — программа или набор программ для скрытия следов присутствия злоумышленника или вредоносной программы в системе.

Термин Rootkit исторически пришёл из мира UNIX, и под этим термином понимается набор утилит или специальный модуль ядра, которые взломщик устанавливает на взломанной им компьютерной системе сразу после получения прав суперпользователя. Этот набор, как правило, включает в себя разнообразные утилиты для «заметания следов» вторжения в систему, сниферы, сканеры, кейлоггеры, троянские программы, замещающие основные утилиты UNIX (в случае неядерного руткита). Rootkit позволяет взломщику закрепиться во взломанной системе и скрыть следы своей деятельности путём сокрытия файлов, процессов а также самого присутствия руткита в системе.

Rootkits могут прятать от пользователя файлы, папки и ключи реестра, скрывать запущенные программы, системные службы, драйверы и сетевые соединения. Т.е. злоумышленник имеет возможность создавать файлы и ключи реестра, запускать программы, работать с сетью и эта активность не будет обнаружена администратором. Rootkits могут скрывать сетевую активность путем модификации стека протоколов TCP/IP.

Использовались материалы статьи Rootkit
 
О понятии "ROOTKIT"

О понятии "ROOTKIT"

Само понятие изначально использовалось исключительно в мире UNIX, где под 'Руткитом' подразумевали набор утилит, устанавливаемый на взломанном компьютере после получения прав суперпользователя, что впоследствии позволяло полностью скрыть следы какой-либо хакерской деятельности.


Суперпользователь или ROOT (отсюда и название) - это особый аккаунт в UNIX-системах, у владельца которого есть привилегии на выполнение всех без исключения операций.
В операционных системах Microsoft Windows под термином "RootKit" принято понимать программу или даже программный код, направленный на маскировку или сокрытие заданных объектов в системе.
Подобное осуществляется различными методами: в первую очередь с помощью перехвата базовых функций ОС (Win32 или Native API), изменением содержимого системных таблиц процессора (GDT, LDT, IDT) и модификаций системных структур операционной системы.
Т.е. благодаря руткиту можно скрыть всё, что позволило бы обнаружить на компьютере постороннее приложение: любые разделы реестра, процессы, папки и файлы, открытые порты TCP/UDP и т.д.

В качестве простого примера: перехват функции поиска файла на диске позволяет исключить маскируемые файлы из результатов этого поиска...
Также стоит заметить, что подобные технологии применяются не только вредоносными приложениями.
Одним из наиболее известных примеров по этой части является антикопировальный механизм корпорации SONY, основанный на скрытой установке в систему программы, драйвера и папки для файлов (все это становилось абсолютно невидимым с помощью руткита).
 
Если я не ошибаюсь,то красные строчки в отчёте АVZ...Где в конце строки указано: Перехватчик неопределён... - это и есть руткинты?
 
Не все перехваты одинаково вредоносны. Касперский дает тоже не мало перехватов.

Уже поняла,что это не самое первое,на что надо обращать внимание...
Список перехватчиков - ещё не повод генерировать скрипт!
Есть более важные вещи в протоколе,чем перехватчики - руткинты,далее-молчу...
 
Есть более важные вещи в протоколе,чем перехватчики - руткинты...
Не все перехватчики - руткиты-вредоносы. Легитимные перехваты тоже могут использовать руткит-технологии - вот о чём речь выше.
 
Последнее редактирование:
Все-таки руткит-это очень сложная технология(именно технология) сокрытия вирусов(или действий хакера).На ровне с буткитом они являются самыми мощными инструментами хакеров.Руткиты используются как правило для "больших" людей, а не для простых смертных.
 
? с каких это пор. Руткит технологии используют все кому не лень, только одни используют то, что лежит в паблике и такую "маскировку" легко заметить, а другие используют штучные экземпляры для
"больших" людей
 
akoK, Я это и имел ввиду что для особых случаев пишутся индивидуальные руткиты,которые более сложны как в написании так и в обнаружении.
 
Но, тем не менее, они ибнаруживаются, если имя предворительно известно.
Если Dir("C:\1\*.exe") дает пустой результат (то есть говорит, что программ в папке нет), а на самом деле там есть заруткитченный 2.exe,
то fso.FileExists("C:\1\2.exe") дает результат True (видит, что есть)
 
Назад
Сверху Снизу