Руткит

Руткит

Руткит (англ. rootkit, т.е. «набор root'а») — программа или набор программ для скрытия следов присутствия злоумышленника или вредоносной программы в системе.

Термин Rootkit исторически пришёл из мира UNIX, и под этим термином понимается набор утилит или специальный модуль ядра, которые взломщик устанавливает на взломанной им компьютерной системе сразу после получения прав суперпользователя. Этот набор, как правило, включает в себя разнообразные утилиты для «заметания следов» вторжения в систему, делает незаметными снифферы, сканеры, кейлоггеры, троянские программы, замещающие основные утилиты UNIX (в случае неядерного руткита). Rootkit позволяет взломщику закрепиться во взломанной системе и скрыть следы своей деятельности путём сокрытия файлов, процессов, а также самого присутствия руткита в системе.

Содержание

Классификация руткитов

  • По уровню привилегий
    • Уровня пользователя (user-mode)
    • Уровня ядра (kernel-mode)
  • По принципу действия
    • изменяющие алгоритмы выполнения системных функций (Modify execution path)
    • изменяющие системные структуры данных (Direct kernel object manipulation)

Основные методы реализации

В Microsoft Windows

В Windows из-за Windows File Protection переписывание системных файлов затруднено, поэтому основные способы внедрения в систему — модификация памяти:

  • перехват системных функций Windows API (API hooking) на уровне пользователя;
  • то же на уровне ядра (перехват Native API);
  • изменение системных структур данных;
  • модификация MBR и загрузка до ядра операционной системы — буткиты (например, BackDoor.MaosBoot).

Данный вид вредоносных кодов в среде Windows известен с начала 1990-х годов под названием стелс-вирусов.

В UNIX

  • реализуемые подменой основных системных утилит (очень легко обнаруживаются средствами контроля целостности, кроме того, легко блокируются средствами типа SELinux (RedHat) и AppArmor (SUSE));
  • реализованные в виде модуля ядра и основанные на патчинге VFS или перехвате таблицы системных вызовов (sys_call_table);
  • основанные на модификации физической памяти ядра.

Дополнительные возможности

Кроме непосредственно себя руткит, как правило, может маскировать присутствие в системе любых описанных в его конфигурации каталогов и файлов на диске, ключей в реестре. По этой причине естественным образом появились «навесные» руткитные библиотеки. Многие руткиты устанавливают в систему свои драйверы и службы (они, естественно, также являются «невидимыми»).

Легальные руткиты

Руткиты могут «подкидывать» не только злоумышленники. Небезызвестен случай, когда корпорация Sony встраивала подобие руткита в свои лицензионные аудиодиски. Руткитами по сути является большинство программных средств защиты от копирования (и средств обхода этих защит — например, эмуляторы CD и DVD приводов). От «нелегальных» они отличаются только тем, что ставятся с ведома пользователя[источник не указан 1018 дней].

Антируткиты

Это утилиты или резидентные модули, обнаруживающие в системе присутствие руткитов и (в разной мере) удаляющие их. Существует множество конкурирующих средств для этого — как платных, так и бесплатных, но все они используют сходные принципы действия:

Поиск расхождений

Против MEP-руткитов. Одна и та же информация получается несколькими способами с использованием API и «напрямую» и ищутся расхождения. В частности, обычно сканируются таблицы импорта, таблица Native API, файловая система.

Ссылки


Wikimedia Foundation. 2010.

Синонимы:

Смотреть что такое "Руткит" в других словарях:

  • руткит — Набор утилит, которые хакер устанавливает на взломанном им компьютере после получения первоначального доступа. Руткит позволяет хакеру закрепиться во взломанной системе и скрыть следы своей деятельности.… …   Справочник технического переводчика

  • руткит — сущ., кол во синонимов: 1 • программа (114) Словарь синонимов ASIS. В.Н. Тришин. 2013 …   Словарь синонимов

  • РУТКИТ — Программа или программный набор для сокрытия следов деятельности вредоносной программы в системе. Обычно устанавливается взломщиком сразу после получения доступа к атакуемому компьютеру. Однако руткиты могут быть легальными. Некоторое время назад …   Словарь бизнес-терминов

  • Рутковская, Йоанна — В Википедии есть статьи о других людях с такой фамилией, см. Рутковская. Йоанна Рутковская Joanna Rutkowska …   Википедия

  • Rootkit — (руткит, от англ. root kit, то есть «набор root а»)  программа или набор программ для скрытия следов присутствия злоумышленника или вредоносной программы в системе. Термин Rootkit исторически пришёл из мира UNIX, и под этим термином… …   Википедия

  • Перехват (программирование) — У этого термина существуют и другие значения, см. Перехват. Перехват (англ. hooking) технология, позволяющая изменить стандартное поведение тех или иных компонентов информационной системы. Содержание 1 Назначение технологии перехвата …   Википедия

  • Хронология компьютерных вирусов и червей — Здесь приведён хронологический список появления некоторых известных компьютерных вирусов и червей, а также событий, оказавших серьёзное влияние на их развитие. Содержание 1 2012 2 2011 3 2010 4 2009 …   Википедия

  • Вредоносная программа — (на жаргоне антивирусных служб «зловред», англ. malware, malicious software  «злонамеренное программное обеспечение»)  любое программное обеспечение, предназначенное для получения несанкционированного доступа к вычислительным… …   Википедия

  • Копмьютерный шпион — Spyware (шпионское программное обеспечение) программа, которая скрытным образом устанавливается на компьютер с целью полного или частичного контроля за работой компьютера и пользователя без согласия последнего. В настоящий момент существует… …   Википедия

  • Программа-шпион — Spyware (шпионское программное обеспечение) программа, которая скрытным образом устанавливается на компьютер с целью полного или частичного контроля за работой компьютера и пользователя без согласия последнего. В настоящий момент существует… …   Википедия

Книги

  • Руткит, Джесси Рассел. Эта книга будет изготовлена в соответствии с Вашим заказом по технологии Print-on-Demand. High Quality Content by WIKIPEDIA articles! Руткит (англ. rootkit, т. е. «набор root'а») — программа… Подробнее  Купить за 1125 руб


Поделиться ссылкой на выделенное

Прямая ссылка:
Нажмите правой клавишей мыши и выберите «Копировать ссылку»

We are using cookies for the best presentation of our site. Continuing to use this site, you agree with this.