Рутк?т
(
англ.
root kit
? наб?р
root
-a) ?
програма
або наб?р програм для приховування сл?д?в присутност? зловмисника або шк?дливо? програми в систем?. Це такий спец?альний модуль ядра, який зламувач встановлю? на зламан?й ним комп'ютерн?й систем? в?дразу п?сля отримання прав
суперкористувача
. Цей наб?р, як правило, включа? р?зноман?тн?
утил?ти
для ≪зам?тання сл?д?в≫ вторгнення в систему сн?фер?в, сканер?в,
кейло?ер?в
,
троянських програм
, що зам?щають основн?
утил?ти
UNIX
(у раз? неядерного рутк?та). Дозволя? порушнику закр?питися в зламан?й систем? ? приховати сл?ди сво?? д?яльност? шляхом приховування
файл?в
,
процес?в
, а також само? присутност? рутк?та в систем?.
Рутк?т може бути встановлений в систему багатьма способами: методом експлойту, п?сля отримання шелл-доступу (в даному випадку може використовувати зас?б типу wget або кореневий FTP-кл??нт для загрузки рутк?та з в?ддаленого устаткування), в вих?дному код? або ресурсах програмного продукту.
- За р?внем доступу
:
- Користувацький (
user-mode
)
- Ядерний (
kernel-mode
)
- За принципом д??
:
- т? що зм?нюють алгоритми виконання системних функц?й (
Modify execution path
)
- т? що зм?нюють системн? структури даних (
Direct kernel object manipulation)
Рутк?т, окр?м того що маску? себе, як правило, може маскувати присутн?сть будь-яких описаних в його конф?гурац?? каталог?в та файл?в на диску або ключ?в в ре?стр?. З ц??? причини власне ? з'явились рутк?тн? б?бл?отеки. Багато рутк?т?в також встановлюють в систему сво? драйвери та служби (котр? також ? замаскованими).
Це набори утил?т, що можуть в?дстежити присутн?сть рутк?т?в та видалити ?х (в т?й чи ?нш?й м?р?). На даний момент на ринку ? багато конкурентних платних та безплатних утил?т, проте вс? вони використовують той самий принцип д??.
Методи деактивац?? рутк?т?в:
В?домий алгоритм в?длову MEP-рутк?т?в. Суть його роботи поляга? в тому, що одна ? та ж ?нформац?я ре?стру?ться дек?лькома способами ? з використанням API та напряму, п?сля цього ?нформац?ю пор?вню?ться в пошуках розб?жностей. Найчаст?ше скануються таблиц? ?мпорту та виклик?в Native API, а також вся файлова система (структурно).
Основний арсенал в?длову рутк?т?в базу?ться на нижче перел?чених методах:
- Сигнатурний пошук. Застосову?ться з час?в перших антив?русних систем; це пошук у файл?, що перев?ря?ться, ун?кального ланцюжка байт?в (сигнатури), що ? притаманним шк?длив?й програм?.
- Повед?нковий анал?затор. Ця технолог?я базу?ться на пошуку в?дхилень в налаштуваннях системи,
конф?гурац?йних файлах
Linux чи ре?стр? Windows, сл?дкуванням за п?дозр?лою повед?нкою процес?в, модул?в та ?н.
- Контроль ц?л?сност?. Цей тип пошуку базу?ться на пор?внянн? контрольно? суми (MD5 та ?нш?) чи цифрового п?дпису р?зноман?тних системних файл?в з базою, в котр?й м?ститься ?нформац?я про контрольну суму ориг?нальних файл?в. В раз? розб?жност? програма робить висновок що файл або модиф?кований або повн?стю зам?нений.
Бутк?т
|
---|
| ?нфекц?йне шк?дливе ПЗ
|
|
---|
| Методи приховування
|
|
---|
| Шк?длив? програми
для прибутку
|
|
---|
| За операц?йною системою
|
|
---|
| Захист
|
|
---|
| Контрзаходи
|
|
---|
|