CHAIKA

Главная | Регистрация | Вход		 Четверг, 25.04.2024, 15:39
Приветствую Вас Гость | RSS
Меню сайта
Категории раздела
Все статьи [165]
Сервисы [26]
Антивирусы [4]
Антивирусы - Удаление антивирусов [4]
Антивирусы - NOD 32 [5]
Антивирусы - KAV & KIS [4]
Браузеры [3]
Загрузка - Менеджеры загрузки [0]
Загрузка - Правила закачки [0]
Загрузка - Сервисы для хранения файлов и изображений [0]
Запись [0]
Эмуляция [0]
Защита [63]
Игры - Крэк [0]
Локальная сеть [15]
Мультимедиа [0]
Мультимедиа - Аудио [0]
Мультимедиа - Видео [0]
Мультимедиа - Графика [0]
Мультимедиа - Флэш [0]
Настройки - Инструкции [54]
Операционная система [4]
Провайдеры Твери [8]
Система - Активация [8]
Система - Восстановление [5]
Система - Контроль [0]
Система - Обслуживание [0]
Система - Оптимизация [0]
Система - Справка [1]
Flash-накопители [1]
WEB-master [14]
WINDOWS 7 [18]
Новые статьи [2]
Статистика
3.145.178.240
Онлайн всего: 1
Гостей: 1
Пользователей: 0
Форма входа

Дай пять!получить кнопку
Главная » Статьи » Все статьи
Rootkit
Rootkit

Rootkit (руткит, от англ. root kit, то есть «набор root'а») — программа или набор программ для скрытия следов присутствия злоумышленника или вредоносной программы в системе.
Руткит-драйвер записан в последние секторы физического диска и не существует в виде файла. Вирус обеспечивает защиту и сокрытие себя на диске. Он имеет большие возможности для видоизменений и модификаций.
Термин Rootkit исторически пришёл из мира UNIX, и под этим термином понимается набор утилит или специальный модуль ядра, которые взломщик устанавливает на взломанной им компьютерной системе сразу после получения прав суперпользователя. Этот набор, как правило, включает в себя разнообразные утилиты для «заметания следов» вторжения в систему, сниферы, сканеры, кейлоггеры, троянские программы, замещающие основные утилиты UNIX (в случае неядерного руткита). Rootkit позволяет взломщику закрепиться во взломанной системе и скрыть следы своей деятельности путём сокрытия файлов, процессов а также самого присутствия руткита в системе.

Классификация руткитов
По уровню привилегий
Уровня пользователя (user-mode)
Уровня ядра (kernel-mode)
По принципу действия
изменяющие алгоритмы выполнения системных функций (Modify execution path)
изменяющие системные структуры данных (Direct kernel object manupulation)

Основные методы реализации
В UNIX
реализуемые подменой основных системных утилит;
реализованные в виде модуля ядра и основанные на патчинге VFS или перехвате таблицы системных вызовов (sys_call_table);
основанные на модификации физической памяти ядра.
В Windows
В Windows из-за Windows File Protection переписывание системных файлов затруднено (хотя и его можно обойти!), поэтому основные способы внедрения в систему — модификация памяти.
перехват системных функций Windows API (API hooking) на уровне пользователя
то же на уровне ядра (перехват Native API)
изменение системных структур данных
Кроме того, руткиту нужно как-то поставить себя на автозапуск. «К счастью», в Windows для этого существует множество способов помимо «стандартных».

Дополнительные возможности
Кроме непосредственно себя руткит, как правило, может маскировать присутствие в системе любых описанных в его конфигурации каталогов и файлов на диске, ключей в реестре. По этой причине естественным образом появились «навесные» руткитные библиотеки. Многие rootkit устанавливают в систему свои драйверы и службы (они, естественно, также являются «невидимыми»).

Легальные руткиты
Руткиты могут «подкидывать» не только злоумышленники. Небезызвестен случай, когда корпорация Sony встраивала подобие руткита в свои лицензионные аудиодиски (см. Защита от несанкционированного копирования#Защита аудио компакт-дисков). Руткитами по сути является большинство программных средств защиты от копирования (и средств обхода этих защит — например, эмуляторы CD и DVD приводов). От «нелегальных» они отличаются только тем, что ставятся с ведома пользователя.

Антируткиты
Это утилиты или резидентные модули, обнаруживающие в системе присутствие руткитов и (в разной мере) удаляющие их. Существует множество конкурирующих средств для этого - как коммерческих, так и бесплатных, но все они используют сходные принципы действия:

Поиск расхождений
Против MEP-руткитов. Одна и та же информация получается несколькими способами с использованием API и "напрямую" и ищутся расхождения. В частности, обычно сканируются таблицы импорта, таблица Native API, файловая система.

Примеры
Свободные
Hypersight Rootkit Detector Единственный антируткит, который определяет руткиты, работающие в режиме hypervisor.
Dr.Web CureIt! - Антируткит и не только.
GMER - один из самых лучших анти-руткитов. Обнаруживает в AD-Streams.
Grisoft AVG Antirootkit - один из самых лучших анти-руткитов.
RootKit Unhooker - один из самых лучших анти-руткитов. Но с частыми зависаниями.
AVZ — не специализированное средство, но антируткит — один из компонентов.
Catchme
DarkSpy Anti-Rootkit
Helios
IceSword
OSAM — не специализированное средство, но антируткит — один из компонентов.
RKDetector
RootKit Hook Analyzer
Rootkit Revealer
Коммерческие
Avira Antivir Rootkit
BitDefender Antirootkit
F-Secure BackLite
McAfee Rootkit Detective
Panda AntiRootkit
Sophos Anti-Rootkit
Trend Micro RootkitBuster
Kaspersky: AntiVirus и Internet Security - комплексные защиты, включающие в себя антируткиты

Категория: Все статьи | Добавил: Chaika (01.10.2009)
Просмотров: 982 | Рейтинг: 0.0/0
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]
Поиск
Друзья сайта
  • Все для веб-мастера
  • Программы для всех
  • Мир развлечений
  • Лучшие сайты Рунета
  • Кулинарные рецепты
    •

    бесплатный счетчик посещений

    * *


    Copyright MyCorp © 2024 |
    Опция Просмотра Скрытых Файлов Сервера Оффлайн базы Зеркала обновлений NOD32 и Eset Smart Security Trojan.Winlock.19 удалить порноинформер Защитить Флэш-карту вирус автозапуска processinfo Conflicker Kido DDoS Autorun Инструкции по удалению продуктов Symantec Dr.Web KAV KIS Windows 7 активация оптимизация восстановление