Rootkit to program ukrywający swoją obecność w systemie przed administratorem i użytkownikami. Do ukrywania obecności w systemie wykorzystuje się zaawansowane funkcje niskopoziomowe, często nieudokumentowane. Rootkit działa na poziomie jądra systemu operacyjnego, może modyfikować i dodawać funkcje systemowe.
W dziedzinie bezpieczeństwa panuje specjalizacja - rootkity to gotowe zestawy umożliwiające utrzymanie roota bez wiedzy admina i użytkowników, które są powszechnie wykorzystywane przez crackerów, stąd ta nazwa "kit" - zestaw.
Pisanie rootkitów to najwyższy poziom wtajemniczenia, większość hackerów potrafi się włamiać, ale nie potrafiłaby napisać rootkita. Podstawowym zadaniem jest złamanie zabezpieczeń, potem instaluje się rootkit (napisany przez kogoś innego) aby utrzymać roota czy administratora na złamanym systemie.
Dobrego rootkitu nie widać na liście procesów, nie widać plików w których się znajduje (dokleja się do istniejących bibliotek). Nie można w łatwy sposób wykryć tego że "coś się zalęgło". Istnieje cała kategoria programów do wykrywania i usuwania rootkitów, pisana przez firmy zajmujące się bezpieczeństwem, programy antywirusowe, open source.
Są rootkity zarówno dla Windows jak i dla Linuksa, i dla nich są też wykrywacze rootkita.
Detektory rootkitów dla Linux.
Polcam na każdym serwerze uruchamiać co jakiś czas chrootkit http://www.chkrootkit.com, bo możecie się kiedyś zdziwić:
Dla Windows polecam TDSSKiller: https://usa.kaspersky.com/downloads/tdsskiller. Początkowo wykrywał on rootkity TDSS, TDL3, ale potem dodano też inne rootkity, tutaj jest aktualna lista:
W dziedzinie bezpieczeństwa panuje specjalizacja - rootkity to gotowe zestawy umożliwiające utrzymanie roota bez wiedzy admina i użytkowników, które są powszechnie wykorzystywane przez crackerów, stąd ta nazwa "kit" - zestaw.
Pisanie rootkitów to najwyższy poziom wtajemniczenia, większość hackerów potrafi się włamiać, ale nie potrafiłaby napisać rootkita. Podstawowym zadaniem jest złamanie zabezpieczeń, potem instaluje się rootkit (napisany przez kogoś innego) aby utrzymać roota czy administratora na złamanym systemie.
Dobrego rootkitu nie widać na liście procesów, nie widać plików w których się znajduje (dokleja się do istniejących bibliotek). Nie można w łatwy sposób wykryć tego że "coś się zalęgło". Istnieje cała kategoria programów do wykrywania i usuwania rootkitów, pisana przez firmy zajmujące się bezpieczeństwem, programy antywirusowe, open source.
Są rootkity zarówno dla Windows jak i dla Linuksa, i dla nich są też wykrywacze rootkita.
Detektory rootkitów dla Linux.
Polcam na każdym serwerze uruchamiać co jakiś czas chrootkit http://www.chkrootkit.com, bo możecie się kiedyś zdziwić:
Kod:
apt-get install chkrootkit
chkrootkitDla Windows polecam TDSSKiller: https://usa.kaspersky.com/downloads/tdsskiller. Początkowo wykrywał on rootkity TDSS, TDL3, ale potem dodano też inne rootkity, tutaj jest aktualna lista:
- Win32.TDSS
- Win32.Stoned.d
- Boot.Cidox.a
- Boot.SST.a
- Boot.Pihar.a,b,c
- Boot.CPD.a
- Boot.Bootkor.a
- Boot.MyBios.b
- Win32.TDSS.mbr
- Boot.Wistler.a
- Boot.SST.b
- Boot.Fisp.a
- Boot.Nimnul.a
- Boot.Batan.a
- Boot.Lapka.a
- Boot.Goodkit.a
- Boot.Clones.a
- Boot.Xpaj.a
- Boot.Yurn.a
- Boot.Prothean.a
- Boot.Plite.a
- Boot.Geth.a
- Boot.CPD.b
- Win32.ZAccess.aml,c,e,f,g,h,i,j,k
- Win32.Trup.a,b
- Win32.Sinowal.knf,kmy
- Win32.Phanta.a,b
- Win32.TDSS.a,b,c,d,e
- Win32.Rloader.a
- Win32.Cmoser.a
- Win32.Zhaba.a,b,c
- Win32.Wistler.a,b,c
- Boot.Niwa.a
- Boot.Mbro.d,e
- Boot.Siob.a
- Boot.Mbro.f