Рутк?т ( англ. root kit  ? наб?р root -a) ? програма або наб?р програм для приховування сл?д?в присутност? зловмисника або шк?дливо? програми в систем?. Це такий спец?альний модуль ядра, який зламувач встановлю? на зламан?й ним комп'ютерн?й систем? в?дразу п?сля отримання прав суперкористувача . Цей наб?р, як правило, включа? р?зноман?тн? утил?ти для ≪зам?тання сл?д?в≫ вторгнення в систему сн?фер?в, сканер?в, кейло?ер?в , троянських програм , що зам?щають основн? утил?ти UNIX (у раз? неядерного рутк?та). Дозволя? порушнику закр?питися в зламан?й систем? ? приховати сл?ди сво?? д?яльност? шляхом приховування файл?в , процес?в , а також само? присутност? рутк?та в систем?.

Рутк?т може бути встановлений в систему багатьма способами: методом експлойту, п?сля отримання шелл-доступу (в даному випадку може використовувати зас?б типу wget або кореневий FTP-кл??нт для загрузки рутк?та з в?ддаленого устаткування), в вих?дному код? або ресурсах програмного продукту.

• За р?внем доступу :
  • Користувацький ( user-mode )
  • Ядерний ( kernel-mode )
• За принципом д?? :
  • т? що зм?нюють алгоритми виконання системних функц?й ( Modify execution path )
  • т? що зм?нюють системн? структури даних ( Direct kernel object manipulation)

Рутк?т, окр?м того що маску? себе, як правило, може маскувати присутн?сть будь-яких описаних в його конф?гурац?? каталог?в та файл?в на диску або ключ?в в ре?стр?. З ц??? причини власне ? з'явились рутк?тн? б?бл?отеки. Багато рутк?т?в також встановлюють в систему сво? драйвери та служби (котр? також ? замаскованими).

Це набори утил?т, що можуть в?дстежити присутн?сть рутк?т?в та видалити ?х (в т?й чи ?нш?й м?р?). На даний момент на ринку ? багато конкурентних платних та безплатних утил?т, проте вс? вони використовують той самий принцип д??.

Методи деактивац?? рутк?т?в:

В?домий алгоритм в?длову MEP-рутк?т?в. Суть його роботи поляга? в тому, що одна ? та ж ?нформац?я ре?стру?ться дек?лькома способами ? з використанням API та напряму, п?сля цього ?нформац?ю пор?вню?ться в пошуках розб?жностей. Найчаст?ше скануються таблиц? ?мпорту та виклик?в Native API, а також вся файлова система (структурно).

Основний арсенал в?длову рутк?т?в базу?ться на нижче перел?чених методах:

1. Сигнатурний пошук. Застосову?ться з час?в перших антив?русних систем; це пошук у файл?, що перев?ря?ться, ун?кального ланцюжка байт?в (сигнатури), що ? притаманним шк?длив?й програм?.
2. Повед?нковий анал?затор. Ця технолог?я базу?ться на пошуку в?дхилень в налаштуваннях системи, конф?гурац?йних файлах Linux чи ре?стр? Windows, сл?дкуванням за п?дозр?лою повед?нкою процес?в, модул?в та ?н.
3. Контроль ц?л?сност?. Цей тип пошуку базу?ться на пор?внянн? контрольно? суми (MD5 та ?нш?) чи цифрового п?дпису р?зноман?тних системних файл?в з базою, в котр?й м?ститься ?нформац?я про контрольну суму ориг?нальних файл?в. В раз? розб?жност? програма робить висновок що файл або модиф?кований або повн?стю зам?нений.

Бутк?т

• What Is A Rootkit And How Can You Avoid Them? [ Арх?вовано 19 вересня 2011 у Wayback Machine .] (англ.)
• rootkit [ Арх?вовано 27 вересня 2011 у Wayback Machine .] (англ.)

Це незавершена стаття про програмне забезпечення . Ви можете допомогти про?кту, виправивши або дописавши ?? .