|
|
| (не показаны 2 промежуточные версии этого же участника) |
| Строка 1: |
Строка 1: |
| − | == Определение ==
| |
| − | '''Rootkit''' (''руткит'', от {{lang-en|root kit}}, то есть «набор [[root]]'а») — [[компьютерная программа|программа]] или набор программ для скрытия следов присутствия злоумышленника или вредоносной программы в системе.
| |
| | | | |
| − | Источник: нет.
| + | '''Rootkit''' — [[компьютерная программа|программа]] или набор программ для скрытия следов присутствия злоумышленника или вредоносной программы в системе. |
| | | | |
| − | == Толкование ==
| + | '''''Источник:''''' нет. |
| − | Термин ''Rootkit'' исторически пришёл из мира [[UNIX]], и под этим термином понимается набор [[утилита|утилит]] или специальный [[модуль ядра]], которые взломщик устанавливает на взломанной им компьютерной системе сразу после получения прав суперпользователя. Этот набор, как правило, включает в себя разнообразные утилиты для «заметания следов» вторжения в систему, [[Sniffer|снифферы]], сканеры, [[keylogger|кейлоггеры]], [[троянские программы]], замещающие основные утилиты UNIX (в случае неядерного руткита). Rootkit позволяет взломщику закрепиться во взломанной системе и скрыть следы своей деятельности путём сокрытия файлов, процессов, а также самого присутствия руткита в системе.
| |
| − | | |
| − | == Классификация руткитов ==
| |
| − | * '''По уровню привилегий'''
| |
| − | ** Уровня пользователя (''user-mode'')
| |
| − | ** Уровня ядра (''kernel-mode'')
| |
| − | * '''По принципу действия'''
| |
| − | ** изменяющие алгоритмы выполнения системных функций (''Modify execution path'')
| |
| − | ** изменяющие системные структуры данных (''Direct kernel object manupulation'')
| |
| − | | |
| − | == Основные методы реализации ==
| |
| − | | |
| − | '''В Microsoft Windows'''
| |
| − | | |
| − | В Windows из-за [[Windows File Protection]] переписывание системных файлов затруднено (хотя и его можно обойти!), поэтому основные способы внедрения в систему — модификация памяти.
| |
| − | * перехват системных функций [[Windows API]] ([[API hooking]]) на уровне пользователя;
| |
| − | * то же на уровне ядра (перехват [[Native API]]);
| |
| − | * изменение системных структур данных;
| |
| − | * модификация MBR и загрузка до ядра операционной системы — [[буткит]]ы (известный представитель [[BackDoor.MaosBoot]]).
| |
| − | | |
| − | Данный вид вредоносных кодов очень давно известен в мире Windows и с начала 90х годов прошлого столетия носит название стелс-вируса ([http://wiki.drweb.com/index.php/Виды_(типы)_вирусов Stealth]). Кроме того, руткиту нужно как-то поставить себя на автозапуск. Нельзя не признать, что в Windows для этого существуют способы помимо «стандартных».
| |
| − | | |
| − | '''В UNIX'''
| |
| − | * реализуемые подменой основных системных утилит (очень легко обнаруживаются средствами контроля целостности, кроме того, легко блокируются средствами типа SELinux (RedHat) и AppArmor (SUSE));
| |
| − | * реализованные в виде модуля ядра и основанные на патчинге VFS или перехвате таблицы системных вызовов (sys_call_table);
| |
| − | * основанные на модификации физической памяти ядра.
| |
| − | | |
| − | == Дополнительные возможности ==
| |
| − | Кроме непосредственно себя руткит, как правило, может маскировать присутствие в системе любых описанных в его конфигурации каталогов и файлов на диске, ключей в [[Реестр Windows|реестре]]. По этой причине естественным образом появились «навесные» руткитные библиотеки. Многие rootkit устанавливают в систему свои [[драйвер]]ы и службы (они, естественно, также являются «невидимыми»).
| |
| − | | |
| − | == Легальные руткиты ==
| |
| − | Руткиты могут «подкидывать» не только злоумышленники. Небезызвестен случай, когда корпорация [[Sony]] встраивала подобие руткита в свои лицензионные [[аудиодиски]] (см. [[Защита от несанкционированного копирования#Защита аудио компакт-дисков]]). Руткитами по сути является большинство программных [[Защита от копирования|средств защиты от копирования]] (и средств обхода этих защит — например, [[:Категория:Эмуляторы_CD_и_DVD_приводов|эмуляторы CD и DVD приводов]]). От «нелегальных» они отличаются только тем, что ставятся с ведома пользователя.
| |
| − | | |
| − | == Антируткиты ==
| |
| − | Это утилиты или резидентные модули, обнаруживающие в системе присутствие руткитов и (в разной мере) удаляющие их. Существует множество конкурирующих средств для этого — как платных, так и бесплатных, но все они используют сходные принципы действия:
| |
| − | ;Поиск расхождений
| |
| − | Против MEP-руткитов. Одна и та же информация получается несколькими способами с использованием API и «напрямую» и ищутся расхождения. В частности, обычно сканируются таблицы импорта, таблица Native API, файловая система.
| |
| − | | |
| − | | |
| − | === Примеры ===
| |
| − | ;Бесплатные
| |
| − | * [http://avast.ru/Free_Avast_home_edition_download.htm Avast! Antivirus] — не специализированное средство, но антируткит — один из компонентов.
| |
| − | * [http://northsecuritylabs.com/ru/ Hypersight Rootkit Detector] — Единственный антируткит, который определяет руткиты, работающие в режиме hypervisor.
| |
| − | * [http://www.freedrweb.com/ Dr.Web CureIt!] — Антируткит и не только.
| |
| − | * [http://www.gmer.net/files.php GMER] — один из самых лучших анти-руткитов. Обнаруживает в AD-Streams.
| |
| − | * [http://free.grisoft.com/doc/39798/lng/us/tpl/v5 Grisoft AVG Antirootkit] — один из самых лучших анти-руткитов. <small>Как отдельный продукт больше не поддерживается, ссылка перенапраяляется на AVG Internet Security 8.0</small>
| |
| − | * [http://antirootkit.com/software/RootKit-Unhooker.htm RootKit Unhooker] — один из самых лучших анти-руткитов. Но с частыми зависаниями.
| |
| − | * [[AVZ]] — не специализированное средство, но антируткит — один из компонентов.
| |
| − | * [http://www.gmer.net/catchme.php Catchme]
| |
| − | * [http://www.fyyre.net/%7Ecardmagic/pages/download_en.html DarkSpy Anti-Rootkit]
| |
| − | * [http://helios.miel-labs.com/2006/07/download-helios.html Helios]
| |
| − | * [http://majorgeeks.com/Icesword_d5199.html IceSword]
| |
| − | * [http://www.online-solutions.ru/ru/osam_autorun_manager.php OSAM] — не специализированное средство, но антируткит — один из компонентов.
| |
| − | * [http://www.rootkitdetector.com/ RKDetector]
| |
| − | * [http://www.resplendence.com/hookanalyzer/ RootKit Hook Analyzer]
| |
| − | * [http://www.microsoft.com/technet/sysinternals/utilities/RootkitRevealer.mspx Rootkit Revealer]
| |
| − | * [http://www.chkrootkit.org/ Chkrootkit]
| |
| − | * [http://rkhunter.sf.net/ The Rootkit Hunter]
| |
| − | ;Коммерческие
| |
| − | * [http://www.avira.com/en/support/support_downloads.html Avira Antivir Rootkit]
| |
| − | * [http://news.bitdefender.com/NW253-en--BitDefender-Releases-Antirootkit-Beta.html BitDefender Antirootkit]
| |
| − | * [http://www.drweb.com/ Dr.Web] — сканер Dr.Web для Windows содержит антируткит модуль
| |
| − | * [http://www.f-secure.co.uk/blacklight/blacklight.html F-Secure BackLite]
| |
| − | * [http://vil.nai.com/vil/stinger/rkstinger.aspx McAfee Rootkit Detective]
| |
| − | * [http://research.pandasoftware.com/blogs/research/archive/2007/04/27/New-Panda-Anti_2D00_Rootkit-_2D00_-Version-1.07.aspx Panda AntiRootkit]
| |
| − | * [http://www.sophos.com/products/free-tools/sophos-anti-rootkit.html Sophos Anti-Rootkit]
| |
| − | * [http://www.trendmicro.com/download/rbuster.asp Trend Micro RootkitBuster]
| |
| − | * [http://www.kaspersky.ru/homeuser Kaspersky]: [http://www.kaspersky.ru/kaspersky_anti-virus_7_0 AntiVirus] и [http://www.kaspersky.ru/kaspersky_internet_security_7_0 Internet Security] — комплексные защиты, включающие в себя антируткиты
| |
| − | | |
| − | == Ссылки ==
| |
| − | * [http://www.securitylab.ru/contest/212106.php Windows под прицелом — SecurityLab] — обзорная статья о руткитах
| |
| − | * [http://hellknights.void.ru Сайт [[Hell Knights Crew]], исследователей, занимающихся в том числе [[VX]]/[[RAT]] и руткит технологиями]
| |
| − | * http://rootkit.com Англоязычный сайт о руткит-технологиях и драйверах режима ядра.
| |
| | | | |
| | [[Категория:Определения]] | | [[Категория:Определения]] |
