IPB

Здравейте ( Вход | Регистрация )

 
Reply to this topicStart new topic
> Какво представляват rootkits
Diabolik.kant
коментар Sep 17 2007, 02:36
Коментар #1


Потребител

Група: Потребител +
Коментари: 241
Регнат: 13-September 07
От: София
Име: Кристиян Александров
Пол: Мъж



Какво представляват Rootkits

От къде идват RootKits?
Терминът RootKits идва още от ранните дни когато ОС Юникс беше най-масовата ОС. Първите форми на RootKits по ОС Юникс, Основното им предназначение е било д се повишат незабележимо правата на потребителя до ниво Root = administrator. От там идва името на този вид инструменти.

Как работят RootKits
Rootkits за Windows работят по малко различен начин, и освен че повишават привилегиите, те така също прикриват някакъв код нй-често зловреден от потребителя и/или съответната защитна програма. Rootkits Сами по себе си не са опасни и зловердни, но се използването им за прикриване на вируси, червеи, троянски коне и шпиони, значително затрудняватяхното откриване, точно идентифициране и отстраняване, като аналогия мога да дам първите Full Stealth за МС-ДОС.

колко опасен може да е един rootkit?
Rootkits Не представляват голяма опастност и не причиняват вреди. Като потенциална опасност може да се счита това че повишава привилегиите до администраторско ниво, инак прикриват програма/процес от потребителя и другите програми. Лошото е че Rootkits се използват за да прикрият вирус/червей/троянски кон/шпионин на системата и да повишат правата с които работи до администратор. Ако има вирус/червей/троянски кон/шпионин прикрит от Rootkit и с повишенипривилегии, може да работи много дълго време незабелязан от потребителя или защитната програма, дори да е най-съвършената и най-добре направената и най-обновената, и програмата не реагира на опасността, защото тя не вижда белези които да я накарат да обърне внимание, и не е вина на защитната програма. Това създава сериозен потенциал за опасност и щети които rootkits могат непряко да нанесат на вашата система.

Колко често срещан е проблема?
Има няколко известни вируса, и шпиони както и комерсиални заглавия като mrs & mr Smith DVD, игрите Theft и Half Life 2 и заглавие на Sony-BGM които използват rootkits, разчитайки че ще остане скрито от защитните програми. Rootkits Все по-масово се използват за да се прикриват Шпиони в комерсиални заглавия, и все още не толкова масово за прикриване на вируси, троянски коне и червеи. Има ясни доказателства за това че RootKit технологията работи безупречно, и все още не е така масово разпрстранена, но истинската опасност ве още е нищожна, но потенциалът им за по-натъчно развитие, и злоупотреба е огромен.

кои зловредни програми изпалзват rootkit за да се прикриват?
Rookits от семействата на Hacker Defender и FU, се използват от шпионски програми от семействата на EliteToolbar, ProAgent, and Probot SE, както и от троянски коне от семействата на Berbew, Padodor, Feutel, Hupigon, и червеи от семействата на Myfip.h и Maslan-family.

Нали Антивирусната програма трябва да засече RootKit в момента на стартиране, преди да се скрие?
Да, и в някои случаи ще го засече, обаче Rootkits серазпространяват под формата на source code и всеки може да модифицира съответният rootkit така че антивирусната програма да не го засича. Реално много автори на Rootkits и шпиони/Троянски коне продават "Неуловими Rootkits" на своите "Клиенти". Това значи че за определена сума пари се гарантира че въпросният rootkit който продават е неуловим за антивирусните програми в този етап на развитие. В новите антивирусни програми, част от техните възможности, позволяват на антивируса да засича някои Rootkits. Програми които включват програми, анализ и контрол на повезението, което позволява дасе контролира достъпа на един процес до останалите процеси. Това би довело до предотвратяване на скриването на някои Rootkits. Като допълнителна защита, се препоръчва комбинация от процесор който на хардуерно ниво поддържа функцията DEP - Data Execution Prevention, и операционна система, която също поддържа тази защитна функция. Тази комбинация ще повиши осезаемо защитата срещу Rootkits на вашият компютър.

Основни видове rootkits и как работят. Описаната по-горе targeted attack е един начин да си сдобиете с подобна красота на компютъра ви, разбира се че има колкото искате други начини да си лепнете подобно чудо на компютъра ви, и още 2 пъти по толкова начини за които не се сещате, но това е отделен въпрос.

Персистентни Rootkits
персистентните rootkits са тези които са свързани със зловреден софтуер който се стартира всеки път при зареждане на системата. Тъй като този тип софтуер трябва да се стартира автоматично при логване на потребител или при стартиране на системата, те трябва дасе запишат в нещо постоянно като стартов файл или стартовата секция на регистри, за да се стартират автоматично, без потребителска намеса и без потребителя да знае че нещо се стартира.

памет-базирани Rootkits
Памеш-базираните rootkits са като ресистентните, но нямат код или запис за автоматично стартиране. те трябва да се стартират ръчно. За премахването на този тип rootkits от паметта, kill на rootkit-а е достатъчен студен рестарт на системата.

Потребителски Rootkits
Има много начини по които Rootkits избягват засичане. Например, този тип рууткитове могат да прехващат основни интерфейси на Windows FindFirstFile/FindNextFile интерфейси, Които се използват от файлови мениджъри (total commander, explorer.exe, cmd.exe/command.com). Когато се показва съдържанието на папка, и има минимална опасност, дасе покаже файл на rootkit-a или друг свързан с него и/или прикриван от него, rootkit прехваща заявката и премахва от резултатите всички записи, които биха го разобличили. Интерфейсите на Windows служат за връзкамежду потребителските програми и процеси на ядрото и по-усъвършенствани rootkits засичат и промменят тези връзки, както и регистрирането и следенето на процесите от ОС. Това ги прави неуловими за този тип скенери които сравняват иноформацията от регистрираните процеси в ОС спрямо процесите регистрирани само в интерфейсите на ОС.

Kernel-mode Rootkits
този тип rootkits са най-мощните и най-сериозните до тук. Не само могат да прехващат и манипулират интерфейсите на ОС,но могат да прехващат и манипулират всички процеси и данни и структури в ядрото на ОС, като пример начин заприкриване е като скрива процес на зловреден код от регистрите на ядрото. Тъй като инетрфейси като task manager, файлови менажери, скенери и прочието утилки, разчитат на информация от регистритена ядрото за активните процеси, премахването на процеса от тези регистри го прави напълно невидим за системата и всякакви утилки и скенери, и само anti-rootkit скенери са в състояние да докладват резултат.

Прогнози за развитето на RootKits
Rootkits вече масово се използват от шпионските програми, и все по-често използвани от авторите на вируси/червеи/троянски коне. В днешно време авторите на всируси са все по-добре подготвени, все по опитни и все по-мотивирани, да създават по-съвършени вируси, и да ги прикриват с все по-съваршени Rootkits като метод за задкулисно "регулиране на бизнеса" и като методи за индустриален шпионаж. Свойството на Rootkits да не се засичат и да приповдигат привилегии до ниво администратор, откриват сериозна опасност от отваряне на задни варти, и пускане на троянски коне и други зловердни кодове с цел неоторизиран достъп до данни, индустриален шпионаж или "зомбиране" на компютъра като спам разпращателна станция.

като цяло проверявайте РС с antirootkit програми и ако можете заредете от авариино СД като ERD commander, и не избирайте да се прикачи към дадена ОС а го изберете да се стартира самостоятелно. след това търсете и изтриите файловете които anti-rootkit докладва, но не очаквайте махането им да мине леко-меко. Доста ще се поозорите, но с повечко упоритост ще успеете да махнете тази напаст от РС.
Go to the top of the page
 
+Quote Post

Reply to this topicStart new topic
1 потребител(и) четат тази тема (1 гости и 0 скрити)
0 Потребител(и):

 



- Елате в .: BGtop.net :. Топ класацията на българските сайтове и гласувайте за този сайт!!! Олекотена версия

Сега е: 15th December 2018 - 00:59