Информационная безопасность

Rootkit

04.06.2008 - 23:01, автор ksu

Rootkit  — программа или набор программ для скрытия следов присутствия злоумышленника или вредоносной программы в системе.

Термин rootkit пришел из мира Unix и изначально им обозначался набор инструментов, необходимый злоумышленнику после того, как он получил права суперпользователя (root) в атакуемой системе. В процессе развития rootkits претерпели ряд модификаций, и их основной задачей стало сокрытие деятельности взломщика от администратора системы.     Классификация руткитов
  • По уровню привилегий
    • Уровня пользователя (user-mode)
    • Уровня ядра (kernel-mode)
  • По принципу действия
    • изменяющие алгоритмы выполнения системных функций (Modify execution path)
    • изменяющие системные структуры данных (Direct kernel object manupulation)

Основные методы реализации rootkit в Windows:

 

В Windows из-за Windows File Protection переписывание системных файлов затруднено, поэтому основные способы внедрения в систему — модификация памяти.

  • перехват системных функций Windows API (API hooking) на уровне пользователя
  • перехват системных функций на уровне ядра (перехват Native API)
  • изменение системных структур данных

Антируткиты

Антируткиты - это утилиты или резидентные модули, обнаруживающие в системе присутствие руткитов и (в разной мере) удаляющие их. Существует множество конкурирующих средств для этого - как платных, так и бесплатных, но все они используют сходные принципы действия.

Список антируткитов.

 

Свободные

  • Hypersight Rootkit Detector Единственный антируткит, который определяет руткиты, работающие в режиме hypervisor.
  • Dr.Web CureIt! - Антируткит и не только.
  • GMER - один из самых лучших анти-руткитов. Обнаруживает в AD-Streams.
  • Grisoft AVG Antirootkit - один из самых лучших анти-руткитов.
  • RootKit Unhooker - один из самых лучших анти-руткитов. Но с частыми зависаниями.
  • AVZ — не специализированное средство, но антируткит — один из компонентов.
  • Catchme
  • DarkSpy Anti-Rootkit
  • Helios
  • IceSword
  • OSAM — не специализированное средство, но антируткит — один из компонентов.
  • RKDetector
  • RootKit Hook Analyzer
  • Rootkit Revealer

Коммерческие

  • Avira Antivir Rootkit
  • BitDefender Antirootkit
  • F-Secure BackLite
  • McAfee Rootkit Detective
  • Panda AntiRootkit
  • Sophos Anti-Rootkit
  • Trend Micro RootkitBuster
  • Kaspersky: AntiVirus и Internet Security - комплексные защиты, включающие в себя антируткиты
Прикрепленный файлРазмер
Rootkit.ppt171 кб
Rootkit.doc54.5 кб
‹ Вредоносное ПОВверх«Логические бомбы» ›