Apakah rootkit? Bagaimanakah rootkit berfungsi? Penjelasan tentang rootkit.

What Is Rootkit How Do Rootkits Work



Artikel ini menerangkan apa itu virus rootkit, cara rootkit berfungsi dan jenis rootkit dalam Windows - kernel dan rootkit mod pengguna. Bootkit vs Rootkit dijelaskan.

Rootkit ialah sejenis perisian yang membolehkan penyerang mendapat kawalan ke atas komputer mangsa. Rootkit boleh digunakan untuk mengawal mesin mangsa dari jauh, mencuri data sensitif atau melancarkan serangan pada komputer lain. Rootkit sukar dikesan dan dialih keluar, dan selalunya memerlukan alat dan kepakaran khas. Bagaimanakah rootkit berfungsi? Rootkit berfungsi dengan mengeksploitasi kelemahan dalam sistem pengendalian atau perisian. Setelah rootkit dipasang, ia boleh digunakan untuk mendapatkan akses kepada mesin mangsa. Rootkit boleh digunakan untuk mengawal mesin mangsa dari jauh, mencuri data sensitif atau melancarkan serangan pada komputer lain. Rootkit sukar dikesan dan dialih keluar, dan selalunya memerlukan alat dan kepakaran khas. Apakah bahaya rootkit? Rootkit boleh digunakan untuk mengawal mesin mangsa dari jauh, mencuri data sensitif atau melancarkan serangan pada komputer lain. Rootkit sukar dikesan dan dialih keluar, dan selalunya memerlukan alat dan kepakaran khas. Bagaimanakah saya boleh melindungi diri saya daripada rootkit? Terdapat beberapa perkara yang boleh anda lakukan untuk melindungi diri anda daripada rootkit. Pertama, pastikan sistem pengendalian dan perisian anda dikemas kini. Ini akan membantu menutup sebarang kelemahan yang boleh dieksploitasi oleh rootkit. Kedua, gunakan program antivirus dan anti-malware yang bereputasi. Program ini boleh membantu untuk mengesan dan mengalih keluar rootkit. Akhir sekali, berhati-hati tentang tapak web yang anda lawati dan lampiran e-mel yang anda buka. Rootkit boleh disebarkan melalui lampiran e-mel berniat jahat atau tapak web yang dijangkiti.



Walaupun mungkin untuk menyembunyikan perisian hasad dengan cara yang akan menipu walaupun produk anti-virus/anti-perisian pengintip tradisional, kebanyakan perisian hasad sudah menggunakan rootkit untuk bersembunyi jauh di dalam PC Windows anda... dan ia semakin berbahaya! DALAM Rootkit DL3 - salah satu rootkit paling maju yang pernah dilihat di dunia. Rootkit adalah stabil dan boleh menjangkiti sistem pengendalian Windows 32-bit; walaupun hak pentadbir diperlukan untuk memasang jangkitan pada sistem. Tetapi TDL3 kini dikemas kini dan kini boleh menjangkiti walaupun versi 64-bit Windows !







Apa itu rootkit

virus





Virus rootkit adalah siluman jenis perisian hasad yang direka bentuk untuk menyembunyikan kewujudan proses atau program tertentu pada komputer anda daripada kaedah pengesanan konvensional untuk memberikannya atau proses berniat jahat lain akses istimewa kepada komputer anda.



Rootkit untuk Windows biasanya digunakan untuk menyembunyikan perisian hasad, seperti daripada program antivirus. Ia digunakan untuk tujuan jahat oleh virus, cacing, pintu belakang dan perisian pengintip. Virus yang digabungkan dengan rootkit menghasilkan apa yang dipanggil virus tersembunyi sepenuhnya. Rootkit lebih meluas dalam bidang perisian pengintip, dan ia juga semakin digunakan oleh penulis virus.

Pada masa ini, ia adalah jenis perisian pengintip super baharu yang menyembunyikan dan secara langsung menjejaskan teras sistem pengendalian. Ia digunakan untuk menyembunyikan kehadiran objek berniat jahat pada komputer anda, seperti trojan atau keylogger. Jika ancaman menggunakan teknologi rootkit untuk disembunyikan, amat sukar untuk mencari perisian hasad pada komputer anda.

Rootkit sendiri tidak berbahaya. Tujuan tunggal mereka adalah untuk menyembunyikan perisian dan jejak yang ditinggalkan pada sistem pengendalian. Sama ada perisian biasa atau perisian hasad.



Terdapat tiga jenis rootkit utama. Jenis pertama, Rootkit kernel »Biasanya menambah kod mereka sendiri pada bahagian kernel sistem pengendalian, manakala jenis kedua,« Rootkit mod pengguna »Direka khas untuk Windows berjalan seperti biasa semasa sistem dimulakan, atau diperkenalkan ke dalam sistem menggunakan apa yang dipanggil 'penitis'. Jenis ketiga ialah rootkit MBR atau bootkit .

Apabila anda mendapati bahawa AntiVirus & AntiSpyware anda ranap, anda mungkin memerlukan bantuan utiliti Anti-Rootkit yang baik . Rootkit Revaler daripada Microsoft Sysinternals ialah utiliti pengesanan rootkit lanjutan. Outputnya menyenaraikan ketidakkonsistenan API pendaftaran dan sistem fail yang mungkin menunjukkan kehadiran kit akar mod pengguna atau mod kernel.

Laporan Pusat Perlindungan Hasad Microsoft tentang ancaman rootkit

Pusat Perlindungan Hasad Microsoft telah menyediakan Laporan Ancaman Rootkit untuk dimuat turun. Laporan itu melihat salah satu jenis perisian hasad yang paling berbahaya yang mengancam organisasi dan individu hari ini, rootkit. Laporan itu meneroka cara penyerang menggunakan rootkit dan cara rootkit berfungsi pada komputer yang terjejas. Inilah intipati laporan itu, bermula dengan apa itu rootkit - untuk pemula.

rootkit ialah satu set alat yang digunakan oleh penyerang atau pencipta perisian hasad untuk mendapatkan kawalan ke atas mana-mana sistem yang tidak selamat/tidak dilindungi, yang sebaliknya biasanya dikhaskan untuk pentadbir sistem. Dalam beberapa tahun kebelakangan ini, istilah 'ROOTKIT' atau 'FUNGSI ROOTKIT' telah digantikan dengan PERISIAN MASALAH, sebuah program yang direka bentuk untuk memberi kesan yang tidak diingini pada komputer yang berfungsi. Fungsi utama perisian hasad adalah untuk mengekstrak data berharga dan sumber lain secara rahsia daripada komputer pengguna dan memberikannya kepada penyerang, dengan itu memberinya kawalan sepenuhnya ke atas komputer yang terjejas. Lebih-lebih lagi, ia sukar dikesan dan dialih keluar, dan boleh kekal tersembunyi untuk masa yang lama, mungkin bertahun-tahun, jika dibiarkan tanpa disedari.

Jadi, secara semulajadi, gejala komputer yang digodam mesti ditutup dan diambil kira sebelum hasilnya membawa maut. Khususnya, langkah keselamatan yang lebih ketat harus diambil untuk mendedahkan serangan itu. Tetapi seperti yang dinyatakan, sebaik sahaja rootkit/perisian hasad ini dipasang, keupayaan tersembunyinya menyukarkan untuk mengalih keluarnya dan komponennya yang boleh mereka muat turun. Atas sebab ini, Microsoft telah mencipta laporan ROOTKITS.

Laporan 16 halaman menerangkan cara penyerang menggunakan rootkit dan cara rootkit ini berfungsi pada komputer yang terjejas.

Satu-satunya tujuan laporan itu adalah untuk mengenal pasti dan menyiasat secara menyeluruh perisian hasad yang berpotensi berbahaya yang mengancam banyak organisasi, khususnya pengguna komputer. Ia juga menyebut beberapa keluarga perisian hasad biasa dan menyerlahkan kaedah yang digunakan oleh penyerang untuk memasang rootkit ini untuk tujuan mementingkan diri mereka sendiri pada sistem yang sihat. Dalam laporan yang lain, anda akan mendapati pakar memberikan beberapa cadangan untuk membantu pengguna mengurangkan ancaman yang ditimbulkan oleh rootkit.

Jenis-jenis rootkit

Terdapat banyak tempat di mana perisian hasad boleh memasang sendiri ke dalam sistem pengendalian. Jadi pada asasnya jenis rootkit ditentukan oleh lokasinya di mana ia melakukan subversi laluan pelaksanaan. Ia termasuk:

  1. Rootkit mod pengguna
  2. Rootkit mod kernel
  3. Rootkit / bootkit MBR

Akibat yang mungkin untuk memecahkan rootkit dalam mod kernel ditunjukkan dalam tangkapan skrin di bawah.

bar tatal bawah tidak mempunyai krom

Jenis ketiga, ubah suai rekod but induk untuk mengawal sistem dan mulakan proses but dari titik terawal yang mungkin dalam urutan but3. Ia menyembunyikan fail, perubahan pendaftaran, bukti sambungan rangkaian, dan penunjuk lain yang mungkin menunjukkan kehadirannya.

Keluarga perisian hasad yang terkenal menggunakan ciri rootkit

  • Win32 / Sinowal 13 - Keluarga berbilang komponen perisian hasad yang cuba mencuri data sensitif seperti nama pengguna dan kata laluan untuk pelbagai sistem. Ini termasuk percubaan untuk mencuri data pengesahan untuk pelbagai akaun FTP, HTTP dan e-mel, serta bukti kelayakan yang digunakan untuk perbankan dalam talian dan transaksi kewangan lain.
  • Win32 / Cutwail 15 - Trojan yang memuat turun dan melancarkan fail sewenang-wenangnya. Fail yang dimuat turun boleh dilaksanakan dari cakera atau dimasukkan terus ke dalam proses lain. Walaupun kefungsian muat turun berbeza-beza, Cutwail biasanya memuat turun komponen spam lain. Ia menggunakan rootkit mod kernel dan memasang beberapa pemacu peranti untuk menyembunyikan komponennya daripada pengguna yang terjejas.
  • Win32 / Rustock - Keluarga berbilang komponen Trojan pintu belakang dengan sokongan rootkit, pada asalnya direka untuk membantu menyebarkan e-mel 'spam' melalui botnet . Botnet ialah rangkaian besar komputer yang digodam yang dikawal oleh penyerang.

Perlindungan rootkit

Mencegah rootkit daripada memasang adalah cara paling berkesan untuk mengelakkan jangkitan rootkit. Untuk melakukan ini, anda perlu melabur dalam teknologi keselamatan seperti antivirus dan tembok api. Produk sedemikian harus mengambil pendekatan komprehensif terhadap perlindungan menggunakan pengesanan berasaskan tandatangan tradisional, pengesanan heuristik, keupayaan tandatangan dinamik dan responsif, dan pemantauan tingkah laku.

Semua set tandatangan ini harus dikemas kini menggunakan mekanisme kemas kini automatik. Penyelesaian antivirus Microsoft termasuk beberapa teknologi yang direka khusus untuk melindungi daripada rootkit, termasuk pemantauan tingkah laku kernel masa nyata, yang mengesan dan melaporkan percubaan untuk mengubah suai kernel sistem yang terdedah, dan menghurai sistem fail langsung, yang memudahkan pengenalpastian dan penyingkiran. pemandu tersembunyi.

Jika sistem didapati terjejas, alat tambahan untuk but ke dalam persekitaran yang diketahui baik atau dipercayai boleh berguna, kerana ia mungkin mencadangkan beberapa tindakan pembetulan yang sesuai.

Dalam keadaan sedemikian

  1. Pemeriksa Sistem Luar Talian (sebahagian daripada Kit Alat Diagnostik dan Pemulihan Microsoft (DaRT))
  2. Windows Defender Luar Talian boleh membantu.
Muat turun Alat Pembaikan PC untuk mencari dan membetulkan ralat Windows secara automatik

Untuk maklumat lanjut, anda boleh memuat turun laporan dalam format PDF daripada tapak web Pusat Muat Turun Microsoft.

Jawatan Popular