Набор утилит или специальный модуль ядра, которые взломщик устанавливает на взломанной им компьютерной системе сразу после получения прав суперпользователя. Скрытие присутствия руткита в системе. Троянские программы, замещающие основные утилиты UNIX.
Говоря о руткитах, непременно упоминают этимологию термина rootkit: “root” - привилегированный администратор UNIX-системы, “kit” - набор инструментов, rootkit - набор утилит для обеспечения «привилегированного» доступа злоумышленника к системе незаметно для настоящего администратора. В отличие от UNIX-руткитов, основная задача которых - впустить злоумышленника в систему и маскировать его действия, стелс-вирусы DOS, заражая файлы, просто скрывали себя от пользователя и антивирусных программ. Перехват функций позволяет ROOTKIT модифицировать результаты их работы - например, перехват функции поиска файла на диске позволяет исключить из результатов поиска маскируемые файлы, а перехват функций типа ntdll.ZWQUERYSYSTEMINFORMATION позволяет замаскировать запущенные процессы и загруженные библиотеки. Это методика сложна в реализации, т.к. существует множество языков программирования, версий компиляторов и программист может реализовать вызов API функций различными методиками. Идея метода проста - ROOTKIT находит в памяти таблицу импорта программы и исправляет адреса интересующих его функций на адреса своих перехватчиков (естественно, он предварительно где-то у себя запоминает правильные адреса).Однако следует помнить, что разработчики ROOTKIT-технологий не стоят на месте, в результате постоянно появляются новые разработки, подходы и методы.
Вы можете ЗАГРУЗИТЬ и ПОВЫСИТЬ уникальность своей работы
