ROOTKIT

[Saule]

ROOTKIT

Само понятие изначально использовалось исключительно в мире UNIX, где под "РУТКИТОМ" подразумевали набор утилит, устанавливаемый на взломанном компьютере после получения прав суперпользователя, что впоследствии позволяло полностью скрыть следы хакерской деятельности.

Суперпользователь или

ROOT

(отсюда и название) - это особый аккаунт в UNIX-системах, у владельца которого есть привилегии на выполнение всех без исключения операций.

В операционных системах Microsoft Windows под термином "ROOTKIT" принято понимать программу или даже программный код, направленный на маскировку или сокрытие заданных объектов в системе.

Подобное осуществляется различными методами: в первую очередь с помощью перехвата базовых функций ОС (Win32 или Native API), изменением содержимого системных таблиц процессора (GDT, LDT, IDT) и модификаций системных структур операционной системы.

Т.е. благодаря руткиту можно скрыть всё, что позволило бы обнаружить на компьютере постороннее приложение: любые разделы реестра, процессы, папки и файлы, открытые порты TCP/UDP и т.д.

В качестве простого примера: перехват функции поиска файла на диске позволяет исключить маскируемые файлы из результатов этого поиска...

Также стоит заметить, что подобные технологии применяются не только вредоносными приложениями.

Одним из наиболее известных примеров по этой части является антикопировальный механизм корпорации SONY, основанный на скрытой установке в систему программы, драйвера и папки для файлов (все это становилось абсолютно невидимым с помощью руткита).

Для удаления руткита SONY: ARIES Rootkit Remover © Lavasoft

Программы для детектирования и удаления руткитов

БЕСПЛАТНЫЕ:

• Rootkit Unhooker
  (есть поддержка русского языка)
  
  
• GMER
  
  
• DarkSpy Anti-Rootkit
  
  
• Rootkit Revealer
  
  
• Helios
  
  
• System Virginity Verifier
  (работа из командной строки)
  
  
• Sophos Anti-Rootkit
  
  
• SEEM (System Eyes & Ears Monitoring)
  
  
• VICE
  
  
• IceSword 1.22
  
  
• AVZ
  (не специализированное средство, но антируткит - один из компонентов; есть поддержка русского языка)
  
  
• Process Hunter
  
  
• RootKit Hook Analyzer
  
  
• Hook Explorer
  
  
• RKDetector
  
  
• SDT Restore
  
  

BETA версии:

• Bitdefender Rootkit Uncover
  
  
• Antikit
  от ВирусБлокАда (работа из командной строки)
  
  
• F-Secure BackLite
  
  
• AVG Antirootkit
  
  
• Trend Micro RootkitBuster
  
  
• Avira Antivir Rootkit
  
  

TRIAL версии:

• UnHackMe
  бесплатно на 10 раз
  
  
• RootKit Shark
  (работа из командной строки)
  
  
• Process Master
  30 дней (есть поддержка русского языка)
  
  
• HiddenFinder
  http://www.wenpoint.com/download/download.php' rel="external nofollow">
  

______________

Windows API (Application Programming Interface) - общее наименование для базовых функций операционной системы, на которых и основана вся работа ОС и которые являются прямым способом взаимодействия Windows с различными приложениями.

Изменено 23 мая, 2008 пользователем akoK