Azərbaycanca
Беларускі
Dansk
Deutsch
Española
Français
Indonesia
Italiana
日本語
Қазақ
Lietuvos
Nederlands
Português
Русский
සිංහල
แบบไทย
Türkçe
Українська
中國人
United State
Afrikaans
Руткіт (англ. root kit — набір root-a) — програма або набір програм для приховування слідів присутності зловмисника або шкідливої програми в системі. Це такий спеціальний модуль ядра, який зламувач встановлює на зламаній ним комп'ютерній системі відразу після отримання прав суперкористувача. Цей набір, як правило, включає різноманітні утиліти для «замітання слідів» вторгнення в систему сніферів, сканерів, кейлоґерів, троянських програм, що заміщають основні утиліти UNIX (у разі неядерного руткіта). Дозволяє порушнику закріпитися в зламаній системі і приховати сліди своєї діяльності шляхом приховування файлів, процесів, а також самої присутності руткіта в системі.
Руткіт може бути встановлений в систему багатьма способами: методом експлойту, після отримання шелл-доступу (в даному випадку може використовувати засіб типу wget або кореневий FTP-клієнт для загрузки руткіта з віддаленого устаткування), в вихідному коді або ресурсах програмного продукту.
Класифікація руткітів
- За рівнем доступу:
- Користувацький (user-mode)
- Ядерний (kernel-mode)
- За принципом дії:
- ті що змінюють алгоритми виконання системних функцій (Modify execution path)
- ті що змінюють системні структури даних (Direct kernel object manipulation)
Додаткові можливості
Руткіт, окрім того що маскує себе, як правило, може маскувати присутність будь-яких описаних в його конфігурації каталогів та файлів на диску або ключів в реєстрі. З цієї причини власне і з'явились руткітні бібліотеки. Багато руткітів також встановлюють в систему свої драйвери та служби (котрі також є замаскованими).
Антируткіти
Це набори утиліт, що можуть відстежити присутність руткітів та видалити їх (в тій чи іншій мірі). На даний момент на ринку є багато конкурентних платних та безплатних утиліт, проте всі вони використовують той самий принцип дії.
Методи деактивації руткітів:
Відомий алгоритм відлову MEP-руткітів. Суть його роботи полягає в тому, що одна і та ж інформація реєструється декількома способами — з використанням API та напряму, після цього інформацію порівнюється в пошуках розбіжностей. Найчастіше скануються таблиці імпорту та викликів Native API, а також вся файлова система (структурно).
Основний арсенал відлову руткітів базується на нижче перелічених методах:
- Сигнатурний пошук. Застосовується з часів перших антивірусних систем; це пошук у файлі, що перевіряється, унікального ланцюжка байтів (сигнатури), що є притаманним шкідливій програмі.
- Поведінковий аналізатор. Ця технологія базується на пошуку відхилень в налаштуваннях системи, конфігураційних файлах Linux чи реєстрі Windows, слідкуванням за підозрілою поведінкою процесів, модулів та ін.
- Контроль цілісності. Цей тип пошуку базується на порівнянні контрольної суми (MD5 та інші) чи цифрового підпису різноманітних системних файлів з базою, в котрій міститься інформація про контрольну суму оригінальних файлів. В разі розбіжності програма робить висновок що файл або модифікований або повністю замінений.
Див. також
Посилання
- What Is A Rootkit And How Can You Avoid Them? [ 19 вересня 2011 у Wayback Machine.](англ.)
- rootkit [ 27 вересня 2011 у Wayback Machine.](англ.)
 | Це незавершена стаття про програмне забезпечення. Ви можете проєкту, виправивши або дописавши її. |
Вікіпедія, Українська, Україна, книга, книги, бібліотека, стаття, читати, завантажити, безкоштовно, безкоштовно завантажити, mp3, відео, mp4, 3gp, jpg, jpeg, gif, png, малюнок, музика, пісня, фільм, книга, гра, ігри, мобільний, телефон, android, ios, apple, мобільний телефон, samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, ПК, web, Інтернет
Rutkit angl root kit nabir root a programa abo nabir program dlya prihovuvannya slidiv prisutnosti zlovmisnika abo shkidlivoyi programi v sistemi Ce takij specialnij modul yadra yakij zlamuvach vstanovlyuye na zlamanij nim komp yuternij sistemi vidrazu pislya otrimannya prav superkoristuvacha Cej nabir yak pravilo vklyuchaye riznomanitni utiliti dlya zamitannya slidiv vtorgnennya v sistemu sniferiv skaneriv kejlogeriv troyanskih program sho zamishayut osnovni utiliti UNIX u razi neyadernogo rutkita Dozvolyaye porushniku zakripitisya v zlamanij sistemi i prihovati slidi svoyeyi diyalnosti shlyahom prihovuvannya fajliv procesiv a takozh samoyi prisutnosti rutkita v sistemi Rutkit mozhe buti vstanovlenij v sistemu bagatma sposobami metodom eksplojtu pislya otrimannya shell dostupu v danomu vipadku mozhe vikoristovuvati zasib tipu wget abo korenevij FTP kliyent dlya zagruzki rutkita z viddalenogo ustatkuvannya v vihidnomu kodi abo resursah programnogo produktu Klasifikaciya rutkitivZa rivnem dostupu Koristuvackij user mode Yadernij kernel mode Za principom diyi ti sho zminyuyut algoritmi vikonannya sistemnih funkcij Modify execution path ti sho zminyuyut sistemni strukturi danih Direct kernel object manipulation Dodatkovi mozhlivostiRutkit okrim togo sho maskuye sebe yak pravilo mozhe maskuvati prisutnist bud yakih opisanih v jogo konfiguraciyi katalogiv ta fajliv na disku abo klyuchiv v reyestri Z ciyeyi prichini vlasne i z yavilis rutkitni biblioteki Bagato rutkitiv takozh vstanovlyuyut v sistemu svoyi drajveri ta sluzhbi kotri takozh ye zamaskovanimi AntirutkitiCe nabori utilit sho mozhut vidstezhiti prisutnist rutkitiv ta vidaliti yih v tij chi inshij miri Na danij moment na rinku ye bagato konkurentnih platnih ta bezplatnih utilit prote vsi voni vikoristovuyut toj samij princip diyi Metodi deaktivaciyi rutkitiv Vidomij algoritm vidlovu MEP rutkitiv Sut jogo roboti polyagaye v tomu sho odna i ta zh informaciya reyestruyetsya dekilkoma sposobami z vikoristannyam API ta napryamu pislya cogo informaciyu porivnyuyetsya v poshukah rozbizhnostej Najchastishe skanuyutsya tablici importu ta viklikiv Native API a takozh vsya fajlova sistema strukturno Osnovnij arsenal vidlovu rutkitiv bazuyetsya na nizhche perelichenih metodah Signaturnij poshuk Zastosovuyetsya z chasiv pershih antivirusnih sistem ce poshuk u fajli sho pereviryayetsya unikalnogo lancyuzhka bajtiv signaturi sho ye pritamannim shkidlivij programi Povedinkovij analizator Cya tehnologiya bazuyetsya na poshuku vidhilen v nalashtuvannyah sistemi konfiguracijnih fajlah Linux chi reyestri Windows slidkuvannyam za pidozriloyu povedinkoyu procesiv moduliv ta in Kontrol cilisnosti Cej tip poshuku bazuyetsya na porivnyanni kontrolnoyi sumi MD5 ta inshi chi cifrovogo pidpisu riznomanitnih sistemnih fajliv z bazoyu v kotrij mistitsya informaciya pro kontrolnu sumu originalnih fajliv V razi rozbizhnosti programa robit visnovok sho fajl abo modifikovanij abo povnistyu zaminenij Div takozhButkitPosilannyaWhat Is A Rootkit And How Can You Avoid Them 19 veresnya 2011 u Wayback Machine angl rootkit 27 veresnya 2011 u Wayback Machine angl Ce nezavershena stattya pro programne zabezpechennya Vi mozhete dopomogti proyektu vipravivshi abo dopisavshi yiyi