Rootkit - История изменений

Wikiadmin: Замена текста — «== Определение ==» на «»

2019-11-14T22:18:50Z

Замена текста — «== Определение ==» на «»

Wikiadmin: Замена текста — «Источник:» на «'''''Источник:'''''»

2019-11-08T20:21:15Z

Замена текста — «Источник:» на «'''''Источник:'''''»

Wikiadmin: Содержимое страницы заменено на «== Определение == '''Rootkit''' — программа или набор...»

2019-11-05T13:28:51Z

Содержимое страницы заменено на «== Определение == '''Rootkit''' — программа или набор...»

Wikiadmin: 1 версия импортирована

2019-10-29T11:02:00Z

1 версия импортирована

wikisec>Swan: Замена текста — «{{sect-stub}}» на «»

2012-06-17T18:37:20Z

Замена текста — «{{sect-stub}}» на «»

Новая страница

== Определение ==
'''Rootkit''' (''руткит'', от {{lang-en|root kit}}, то есть «набор [[root]]'а») — [[компьютерная программа|программа]] или набор программ для скрытия следов присутствия злоумышленника или вредоносной программы в системе.

Источник: нет.

== Толкование ==
Термин ''Rootkit'' исторически пришёл из мира [[UNIX]], и под этим термином понимается набор [[утилита|утилит]] или специальный [[модуль ядра]], которые взломщик устанавливает на взломанной им компьютерной системе сразу после получения прав суперпользователя. Этот набор, как правило, включает в себя разнообразные утилиты для «заметания следов» вторжения в систему, [[Sniffer|снифферы]], сканеры, [[keylogger|кейлоггеры]], [[троянские программы]], замещающие основные утилиты UNIX (в случае неядерного руткита). Rootkit позволяет взломщику закрепиться во взломанной системе и скрыть следы своей деятельности путём сокрытия файлов, процессов, а также самого присутствия руткита в системе.

== Классификация руткитов ==
* '''По уровню привилегий'''
** Уровня пользователя (''user-mode'')
** Уровня ядра (''kernel-mode'')
* '''По принципу действия'''
** изменяющие алгоритмы выполнения системных функций (''Modify execution path'')
** изменяющие системные структуры данных (''Direct kernel object manupulation'')

== Основные методы реализации ==

'''В Microsoft Windows'''

В Windows из-за [[Windows File Protection]] переписывание системных файлов затруднено (хотя и его можно обойти!), поэтому основные способы внедрения в систему — модификация памяти.
* перехват системных функций [[Windows API]] ([[API hooking]]) на уровне пользователя;
* то же на уровне ядра (перехват [[Native API]]);
* изменение системных структур данных;
* модификация MBR и загрузка до ядра операционной системы — [[буткит]]ы (известный представитель [[BackDoor.MaosBoot]]).

Данный вид вредоносных кодов очень давно известен в мире Windows и с начала 90х годов прошлого столетия носит название стелс-вируса ([http://wiki.drweb.com/index.php/Виды_(типы)_вирусов Stealth]). Кроме того, руткиту нужно как-то поставить себя на автозапуск. Нельзя не признать, что в Windows для этого существуют способы помимо «стандартных».

'''В UNIX'''
* реализуемые подменой основных системных утилит (очень легко обнаруживаются средствами контроля целостности, кроме того, легко блокируются средствами типа SELinux (RedHat) и AppArmor (SUSE));
* реализованные в виде модуля ядра и основанные на патчинге VFS или перехвате таблицы системных вызовов (sys_call_table);
* основанные на модификации физической памяти ядра.

== Дополнительные возможности ==
Кроме непосредственно себя руткит, как правило, может маскировать присутствие в системе любых описанных в его конфигурации каталогов и файлов на диске, ключей в [[Реестр Windows|реестре]]. По этой причине естественным образом появились «навесные» руткитные библиотеки. Многие rootkit устанавливают в систему свои [[драйвер]]ы и службы (они, естественно, также являются «невидимыми»).

== Легальные руткиты ==
Руткиты могут «подкидывать» не только злоумышленники. Небезызвестен случай, когда корпорация [[Sony]] встраивала подобие руткита в свои лицензионные [[аудиодиски]] (см. [[Защита от несанкционированного копирования#Защита аудио компакт-дисков]]). Руткитами по сути является большинство программных [[Защита от копирования|средств защиты от копирования]] (и средств обхода этих защит — например, [[:Категория:Эмуляторы_CD_и_DVD_приводов|эмуляторы CD и DVD приводов]]). От «нелегальных» они отличаются только тем, что ставятся с ведома пользователя.

== Антируткиты ==
Это утилиты или резидентные модули, обнаруживающие в системе присутствие руткитов и (в разной мере) удаляющие их. Существует множество конкурирующих средств для этого — как платных, так и бесплатных, но все они используют сходные принципы действия:
;Поиск расхождений
Против MEP-руткитов. Одна и та же информация получается несколькими способами с использованием API и «напрямую» и ищутся расхождения. В частности, обычно сканируются таблицы импорта, таблица Native API, файловая система.

=== Примеры ===
;Бесплатные
* [http://avast.ru/Free_Avast_home_edition_download.htm Avast! Antivirus] — не специализированное средство, но антируткит — один из компонентов.
* [http://northsecuritylabs.com/ru/ Hypersight Rootkit Detector] — Единственный антируткит, который определяет руткиты, работающие в режиме hypervisor.
* [http://www.freedrweb.com/ Dr.Web CureIt!] — Антируткит и не только.
* [http://www.gmer.net/files.php GMER] — один из самых лучших анти-руткитов. Обнаруживает в AD-Streams.
* [http://free.grisoft.com/doc/39798/lng/us/tpl/v5 Grisoft AVG Antirootkit] — один из самых лучших анти-руткитов. <small>Как отдельный продукт больше не поддерживается, ссылка перенапраяляется на AVG Internet Security 8.0</small>
* [http://antirootkit.com/software/RootKit-Unhooker.htm RootKit Unhooker] — один из самых лучших анти-руткитов. Но с частыми зависаниями.
* [[AVZ]] — не специализированное средство, но антируткит — один из компонентов.
* [http://www.gmer.net/catchme.php Catchme]
* [http://www.fyyre.net/%7Ecardmagic/pages/download_en.html DarkSpy Anti-Rootkit]
* [http://helios.miel-labs.com/2006/07/download-helios.html Helios]
* [http://majorgeeks.com/Icesword_d5199.html IceSword]
* [http://www.online-solutions.ru/ru/osam_autorun_manager.php OSAM] — не специализированное средство, но антируткит — один из компонентов.
* [http://www.rootkitdetector.com/ RKDetector]
* [http://www.resplendence.com/hookanalyzer/ RootKit Hook Analyzer]
* [http://www.microsoft.com/technet/sysinternals/utilities/RootkitRevealer.mspx Rootkit Revealer]
* [http://www.chkrootkit.org/ Chkrootkit]
* [http://rkhunter.sf.net/ The Rootkit Hunter]
;Коммерческие
* [http://www.avira.com/en/support/support_downloads.html Avira Antivir Rootkit]
* [http://news.bitdefender.com/NW253-en--BitDefender-Releases-Antirootkit-Beta.html BitDefender Antirootkit]
* [http://www.drweb.com/ Dr.Web] — сканер Dr.Web для Windows содержит антируткит модуль
* [http://www.f-secure.co.uk/blacklight/blacklight.html F-Secure BackLite]
* [http://vil.nai.com/vil/stinger/rkstinger.aspx McAfee Rootkit Detective]
* [http://research.pandasoftware.com/blogs/research/archive/2007/04/27/New-Panda-Anti_2D00_Rootkit-_2D00_-Version-1.07.aspx Panda AntiRootkit]
* [http://www.sophos.com/products/free-tools/sophos-anti-rootkit.html Sophos Anti-Rootkit]
* [http://www.trendmicro.com/download/rbuster.asp Trend Micro RootkitBuster]
* [http://www.kaspersky.ru/homeuser Kaspersky]: [http://www.kaspersky.ru/kaspersky_anti-virus_7_0 AntiVirus] и [http://www.kaspersky.ru/kaspersky_internet_security_7_0 Internet Security] — комплексные защиты, включающие в себя антируткиты

== Ссылки ==
* [http://www.securitylab.ru/contest/212106.php Windows под прицелом — SecurityLab] — обзорная статья о руткитах
* [http://hellknights.void.ru Сайт [[Hell Knights Crew]], исследователей, занимающихся в том числе [[VX]]/[[RAT]] и руткит технологиями]
* http://rootkit.com Англоязычный сайт о руткит-технологиях и драйверах режима ядра.

[[Категория:Определения]]

← Предыдущая		Версия 22:18, 14 ноября 2019
Строка 1:		Строка 1:
−	~~== Определение ==~~	+
	'''Rootkit''' — [[компьютерная программа\|программа]] или набор программ для скрытия следов присутствия злоумышленника или вредоносной программы в системе.		'''Rootkit''' — [[компьютерная программа\|программа]] или набор программ для скрытия следов присутствия злоумышленника или вредоносной программы в системе.

@@ Строка 2: / Строка 2: @@
 '''Rootkit''' — [[компьютерная программа|программа]] или набор программ для скрытия следов присутствия злоумышленника или вредоносной программы в системе.
-Источник: нет.
+'''''Источник:''''' нет.
 [[Категория:Определения]]

← Предыдущая	Версия 11:02, 29 октября 2019
(нет различий)