www.wikidata.uk-ua.nina.az

Руткіт англ root kit набір root a програма або набір програм для приховування слідів присутності зловмисника або шкідлив

Руткіт

Руткіт (англ. root kit — набір root-a) — програма або набір програм для приховування слідів присутності зловмисника або шкідливої програми в системі. Це такий спеціальний модуль ядра, який зламувач встановлює на зламаній ним комп'ютерній системі відразу після отримання прав суперкористувача. Цей набір, як правило, включає всілякі утиліти для «замітання слідів» вторгнення в систему сніферів, сканерів, кейлоґерів, троянських програм, що заміщають основні утиліти UNIX (у разі неядерного руткіта). Дозволяє зламувачеві закріпитися в зламаній системі і приховати сліди своєї діяльності шляхом приховування файлів, процесів, а також самої присутності руткіта в системі.

Руткіт може бути встановлений в систему багатьма способами: методом експлойту, після отримання шелл-доступу (в даному випадку може використовувати засіб типу wget або кореневий FTP-клієнт для загрузки руткіта з віддаленого устаткування), в вихідному коді або ресурсах програмного продукту.

Класифікація руткітів Редагувати

  • За рівнем доступу:
    • Користувацький (user-mode)
    • Ядерний (kernel-mode)
  • За принципом дії:
    • ті що змінюють алгоритми виконання системних функцій (Modify execution path)
    • ті що змінюють системні структури даних (Direct kernel object manipulation)

Додаткові можливості Редагувати

Руткіт, окрім того що маскує себе, як правило, може маскувати присутність будь-яких описаних в його конфігурації каталогів та файлів на диску або ключів в реєстрі. З цієї причини власне і з'явились руткітні бібліотеки. Багато руткітів також встановлюють в систему свої драйвери та служби (котрі також є замаскованими).

Антируткіти Редагувати

Це набори утиліт, що можуть відстежити присутність руткітів та видалити їх (в тій чи іншій мірі). На даний момент на ринку є багато конкурентних платних та безплатних утиліт, проте всі вони використовують той самий принцип дії.

Методи деактивації руткітів:

Відомий алгоритм відлову MEP-руткітів. Суть його роботи полягає в тому, що одна і та ж інформація реєструється декількома способами — з використанням API та напряму, після цього інформацію порівнюється в пошуках розбіжностей. Найчастіше скануються таблиці імпорту та викликів Native API, а також вся файлова система (структурно).

Основний арсенал відлову руткітів базується на нижче перелічених методах:

  1. Сигнатурний пошук. Застосовується з часів перших антивірусних систем; це пошук у файлі, що перевіряється, унікального ланцюжка байтів (сигнатури), що є притаманним шкідливій програмі.
  2. Поведінковий аналізатор. Ця технологія базується на пошуку відхилень в налаштуваннях системи, конфігураційних файлах Linux чи реєстрі Windows, слідкуванням за підозрілою поведінкою процесів, модулів та ін.
  3. Контроль цілісності. Цей тип пошуку базується на порівнянні контрольної суми (MD5 та інші) чи цифрового підпису різноманітних системних файлів з базою, в котрій міститься інформація про контрольну суму оригінальних файлів. В разі неспівпадіння програма робить висновок що файл або модифікований або повністю замінений.

Див. також Редагувати

Буткіт

Посилання Редагувати


Це незавершена стаття про програмне забезпечення.
Ви можете допомогти проєкту, виправивши або дописавши її.
Вікіпедія, Українська, Україна, книга, книги, бібліотека, стаття, читати, завантажити, безкоштовно, безкоштовно завантажити, mp3, відео, mp4, 3gp, jpg, jpeg, gif, png, малюнок, музика, пісня, фільм, книга, гра, ігри
Дата публікації:
Rutkit angl root kit nabir root a programa abo nabir program dlya prihovuvannya slidiv prisutnosti zlovmisnika abo shkidlivoyi programi v sistemi Ce takij specialnij modul yadra yakij zlamuvach vstanovlyuye na zlamanij nim komp yuternij sistemi vidrazu pislya otrimannya prav superkoristuvacha Cej nabir yak pravilo vklyuchaye vsilyaki utiliti dlya zamitannya slidiv vtorgnennya v sistemu sniferiv skaneriv kejlogeriv troyanskih program sho zamishayut osnovni utiliti UNIX u razi neyadernogo rutkita Dozvolyaye zlamuvachevi zakripitisya v zlamanij sistemi i prihovati slidi svoyeyi diyalnosti shlyahom prihovuvannya fajliv procesiv a takozh samoyi prisutnosti rutkita v sistemi Rutkit mozhe buti vstanovlenij v sistemu bagatma sposobami metodom eksplojtu pislya otrimannya shell dostupu v danomu vipadku mozhe vikoristovuvati zasib tipu wget abo korenevij FTP kliyent dlya zagruzki rutkita z viddalenogo ustatkuvannya v vihidnomu kodi abo resursah programnogo produktu Zmist 1 Klasifikaciya rutkitiv 2 Dodatkovi mozhlivosti 3 Antirutkiti 4 Div takozh 5 PosilannyaKlasifikaciya rutkitiv RedaguvatiZa rivnem dostupu Koristuvackij user mode Yadernij kernel mode Za principom diyi ti sho zminyuyut algoritmi vikonannya sistemnih funkcij Modify execution path ti sho zminyuyut sistemni strukturi danih Direct kernel object manipulation Dodatkovi mozhlivosti RedaguvatiRutkit okrim togo sho maskuye sebe yak pravilo mozhe maskuvati prisutnist bud yakih opisanih v jogo konfiguraciyi katalogiv ta fajliv na disku abo klyuchiv v reyestri Z ciyeyi prichini vlasne i z yavilis rutkitni biblioteki Bagato rutkitiv takozh vstanovlyuyut v sistemu svoyi drajveri ta sluzhbi kotri takozh ye zamaskovanimi Antirutkiti RedaguvatiCe nabori utilit sho mozhut vidstezhiti prisutnist rutkitiv ta vidaliti yih v tij chi inshij miri Na danij moment na rinku ye bagato konkurentnih platnih ta bezplatnih utilit prote vsi voni vikoristovuyut toj samij princip diyi Metodi deaktivaciyi rutkitiv Vidomij algoritm vidlovu MEP rutkitiv Sut jogo roboti polyagaye v tomu sho odna i ta zh informaciya reyestruyetsya dekilkoma sposobami z vikoristannyam API ta napryamu pislya cogo informaciyu porivnyuyetsya v poshukah rozbizhnostej Najchastishe skanuyutsya tablici importu ta viklikiv Native API a takozh vsya fajlova sistema strukturno Osnovnij arsenal vidlovu rutkitiv bazuyetsya na nizhche perelichenih metodah Signaturnij poshuk Zastosovuyetsya z chasiv pershih antivirusnih sistem ce poshuk u fajli sho pereviryayetsya unikalnogo lancyuzhka bajtiv signaturi sho ye pritamannim shkidlivij programi Povedinkovij analizator Cya tehnologiya bazuyetsya na poshuku vidhilen v nalashtuvannyah sistemi konfiguracijnih fajlah Linux chi reyestri Windows slidkuvannyam za pidozriloyu povedinkoyu procesiv moduliv ta in Kontrol cilisnosti Cej tip poshuku bazuyetsya na porivnyanni kontrolnoyi sumi MD5 ta inshi chi cifrovogo pidpisu riznomanitnih sistemnih fajliv z bazoyu v kotrij mistitsya informaciya pro kontrolnu sumu originalnih fajliv V razi nespivpadinnya programa robit visnovok sho fajl abo modifikovanij abo povnistyu zaminenij Div takozh RedaguvatiButkitPosilannya RedaguvatiWhat Is A Rootkit And How Can You Avoid Them Arhivovano 19 veresnya 2011 u Wayback Machine angl rootkit Arhivovano 27 veresnya 2011 u Wayback Machine angl nbsp Ce nezavershena stattya pro programne zabezpechennya Vi mozhete dopomogti proyektu vipravivshi abo dopisavshi yiyi Otrimano z https uk wikipedia org w index php title Rutkit amp oldid 36912660