Logo dan.sync-computers.com
Internet

Hvad er et rodkit?

Video: Båndkniven - Kendetegn og brug af båndknive (Juni 2025)

Video: Båndkniven - Kendetegn og brug af båndknive (Juni 2025)
Anonim

Rootkits kan kaldes den mest teknisk sofistikerede form for ondsindet kode (malware) og en af ​​de sværeste at opdage og fjerne. Af alle typer malware får antagelig vira og orme mest reklame, fordi de generelt er udbredt. Det vides, at mange mennesker er blevet påvirket af en virus eller en orm, men dette betyder bestemt ikke, at vira og orme er den mest destruktive malware, der findes i. Der er mere farlige typer malware, fordi de som regel fungerer i stealth-tilstand, er svære at opdage og fjerne og kan gå ubemærket hen i meget lange perioder, stille indhentet adgang, stjæle data og ændre filerne på offerets maskine .


Et eksempel på en sådan stealthly fjende er rootkits - en samling værktøjer, der kan erstatte eller ændre eksekverbare programmer, eller endda kernen i selve operativsystemet for at få administrator-adgang til systemet, som kan bruges til installation spyware, keyloggers og andre ondsindede værktøjer. I det væsentlige tillader et rodkit en angriber at få fuld adgang over offerets maskine (og muligvis for hele det netværk, som maskinen tilhører). En af de kendte anvendelser af et rodkit, der forårsagede betydeligt tab / skade, var tyveri af kildekoden til Valves Half-Life 2: Source-spilmotor.


Rootkits er ikke noget nyt - de har eksisteret i årevis og er kendt for at have udført forskellige operativsystemer (Windows, UNIX, Linux, Solaris osv.). Hvis det ikke var for en eller to masseforekomster af rodkit-hændelser (se afsnittet Berømte eksempler), der gjorde opmærksomheden offentligt opmærksom på dem, kunne de muligvis igen undslippe bevidsthed, undtagen af ​​en lille cirkel af sikkerhedsfolk. Fra i dag har rootkits ikke løsladt deres fulde destruktive potentiale, da de ikke er så vidt spredt som andre former for malware. Dette kan dog være af lidt komfort.


Rootkit-mekanismer udsat
I lighed med trojanske heste, vira og orme installerer rootkits sig selv ved at udnytte fejl i netværkssikkerheden og operativsystemet, ofte uden brugerinteraktion. Selvom der er rootkits, der kan komme som en e-mail-vedhæftet fil eller i et bundt med et legitimt softwareprogram, er de uskadelige, indtil brugeren åbner vedhæftningen eller installerer programmet. Men i modsætning til mindre sofistikerede former for malware, infiltrerer rootkits meget dybt ind i operativsystemet og gør en særlig indsats for at skjule deres tilstedeværelse - for eksempel ved at ændre systemfiler.

Grundlæggende er der to typer rootkits: rootkits på kerneniveau og rootkits på applikationsniveau. Rootkits på kerneniveau tilføjer kode til eller ændrer kernen i operativsystemet. Dette opnås ved at installere en enhedsdriver eller et lastbart modul, der ændrer systemopkald for at skjule tilstedeværelsen af ​​en angriber. Således ser du i dine logfiler, ser du ingen mistænkelig aktivitet på systemet. Rootkits til applikationsniveau er mindre sofistikerede og generelt er det lettere at registrere, fordi de ændrer eksekverbare programmer, i stedet for selve operativsystemet. Da Windows 2000 rapporterer enhver ændring af en eksekverbar fil til brugeren, gør det det vanskeligere for angriberen at gå upåagtet hen.


Hvorfor rodkits udgør en risiko
Rootkits kan fungere som en bagdør og er normalt ikke alene i deres mission - de er ofte ledsaget af spyware, trojanheste eller vira. Målene med et rodkit kan variere fra enkel ondsindet glæde ved at trænge ind i en andres computer (og skjule sporene efter udenlandsk tilstedeværelse), til at opbygge et helt system til ulovligt at få fortrolige data (kreditkortnumre eller kildekode som i tilfælde af halvdelen -Life 2).

Generelt er rootkits på applikationsniveau mindre farlige og lettere at opdage. Men hvis det program, du bruger til at holde styr på din økonomi, bliver "lappet" af en rodkit, kan det monetære tab være betydeligt - dvs. en angriber kan bruge dine kreditkortdata til at købe et par varer, og hvis du ikke bemærker mistænksom aktivitet på din kreditkortsaldo i rette tid, det er mest sandsynligt, at du aldrig vil se pengene igen.


Sammenlignet med rootkits på kerneniveau ser rootkits på applikationsniveau søde og ufarlige. Hvorfor? Fordi i teorien åbner et kernelniveau rootkit alle døre til et system. Når dørene er åbne, kan andre former for malware derefter glide ind i systemet. At have en rootkit-infektion med kerneniveau og ikke være i stand til at opdage og fjerne den let (eller overhovedet, som vi vil se næste) betyder, at nogen andre kan have total kontrol over din computer og kan bruge den på enhver måde, som han eller hun vil - for eksempel at indlede et angreb på andre maskiner ved at gøre indtryk af, at angrebet stammer fra din computer og ikke fra et andet sted.


Påvisning og fjernelse af rodkits
Ikke at andre typer malware er let at opdage og fjerne, men rootkits på kerneniveau er en særlig katastrofe. På en måde er det en Catch 22 - hvis du har en rootkit, er det sandsynligt, at de systemfiler, der kræves af anti-rootkit-softwaren, vil blive ændret, og derfor kan resultaterne af kontrollen ikke stole på. Hvad mere er, hvis et rootkit kører, kan det med succes ændre listen over filer eller listen over kørende processer, som antivirusprogrammer er afhængige af og dermed levere falske data. Et kørende rootkit kan også blot fjerne antivirusprogramprocesser fra hukommelsen, hvilket får applikationen til at lukke eller afslutte uventet. Ved at gøre dette viser det imidlertid indirekte sin tilstedeværelse, så man kan blive mistænksom, når noget går galt, især med software, der opretholder systemsikkerhed.

En anbefalet måde at detektere tilstedeværelsen af ​​et rootkit er at starte fra et alternativt medie, der vides at være ren (dvs. en sikkerhedskopi eller rednings-cd-rom) og kontrollere det mistænkelige system. Fordelen ved denne metode er, at rootkit ikke kører (derfor vil det ikke være i stand til at skjule sig selv), og systemfilerne vil ikke blive manipuleret aktivt.


Der er måder at registrere og (forsøge at) fjerne rootkits på. En måde er at have rene MD5 fingeraftryk af de originale systemfiler for at sammenligne de nuværende systemfiler fingeraftryk. Denne metode er ikke særlig pålidelig, men er bedre end intet. Brug af en kernel debugger er mere pålidelig, men det kræver indgående kendskab til operativsystemet. Selv flertallet af systemadministratorer vil sjældent ty til det, især når der er gratis gode programmer til påvisning af rootkit, som Marc Russinovichs RootkitRevealer. Hvis du går til hans websted, finder du detaljerede instruktioner, hvordan du bruger programmet.


Hvis du registrerer et rodkit på din computer, er det næste trin at slippe af med det (lettere sagt end gjort). Med nogle rootkits er fjernelse ikke en mulighed, medmindre du også vil fjerne hele operativsystemet! Den mest åbenlyse løsning - at slette inficerede filer (forudsat at du ved, hvilke der nøjagtigt er tilsluttet) er absolut ikke anvendelig, når det drejer sig om vigtige systemfiler. Hvis du sletter disse filer, er chancerne for, at du aldrig vil være i stand til at starte Windows igen. Du kan prøve et par rootkit-fjernelsesapplikationer, som UnHackMe eller F-Secure BlackLight Beta, men regn ikke med dem for meget for at kunne fjerne skadedyret sikkert.

Det lyder måske som chokterapi, men den eneste beviste måde at fjerne en rootkit er ved at formatere harddisken og geninstallere operativsystemet igen (fra et rent installationsmedium, selvfølgelig!). Hvis du har en anelse om, hvor du har fået rootkit fra (blev det samlet i et andet program, eller sendte nogen det til dig via e-mail?), Skal du ikke engang tænke på at køre eller ikke fortælle infektionskilden igen!


Kendte eksempler på rodkit
Rootkits har været i stealthy brug i årevis, men kun indtil sidste år, da de optrådte i nyhedsoverskrifter. Sagen om Sony-BMG med deres Digital Right Management (DRM) -teknologi, der beskyttede uautoriseret cd-kopiering ved at installere en rootkit på brugerens maskine, fremprovokerede skarp kritik. Der var retssager og en straffesag. Sony-BMG måtte trække deres cd'er ud af butikkerne og erstatte de indkøbte kopier med rene, ifølge sagsafviklingen. Sony-BMG blev beskyldt for i hemmelighed at have lukket systemfiler i et forsøg på at skjule tilstedeværelsen af ​​kopibeskyttelsesprogrammet, der også bruges til at sende private data til Sonys websted. Hvis programmet blev afinstalleret af brugeren, blev CD-drevet ude af drift. Faktisk krænkede dette copyright-beskyttelsesprogram alle rettigheder til beskyttelse af personlige oplysninger, anvendte ulovlige teknikker, der er typiske for denne slags malware, og frem for alt forlod offerets computer sårbar over for forskellige angrebstammer. Det var typisk for et stort selskab, såsom Sony-BMG, at gå den arrogante vej først ved at oplyse, at hvis de fleste ikke vidste, hvad en rodkit var, og hvorfor ville de passe på, at de havde en. Hvis der ikke havde været nogen fyre som Mark Roussinovich, der var den første til at ringe på klokken om Sonys rodkit, kunne tricket have fungeret, og millioner af computere ville have været inficeret - en ganske global overtrædelse i det påståede forsvar af en virksomheds intellektuelle ejendom!

Ligesom tilfældet med Sony, men når det ikke var nødvendigt at være tilsluttet internettet, er tilfældet med Norton SystemWorks. Det er rigtigt, at begge tilfælde ikke kan sammenlignes ud fra et etisk eller teknisk synspunkt, fordi selvom Norton's rootkit (eller rootkit-lignende teknologi) ændrer Windows-systemfiler til at rumme Norton Protected papirkurven, kan Norton næppe beskyldes for ondsindede intentioner om at begrænse brugers rettigheder eller til at drage fordel af rootkit, som det er tilfældet med Sony. Formålet med tilslutningen var at skjule for alle (brugere, administratorer osv.) Og alt (andre programmer, Windows selv) et backup-bibliotek med filer, som brugerne har slettet, og det kan senere gendannes fra dette backup-bibliotek. Funktionen af ​​den beskyttede papirkurven var at tilføje endnu et sikkerhedsnet mod hurtige fingre, der først sletter og derefter tænker, om de har slettet de rigtige filer (r), hvilket giver en yderligere måde at gendanne filer, der er blevet slettet fra papirkurven ( eller der har omgået papirkurven).

Disse to eksempler er næppe de mest alvorlige tilfælde af rodkitaktivitet, men de er værd at nævne, fordi man ved at tiltrække opmærksomhed på disse særlige sager blev interesseret i rootkits som helhed. Forhåbentlig ved, at flere nu ikke kun ved, hvad et rodkit er, men er opmærksomme på, om de har en, og er i stand til at registrere og fjerne dem!

Hvad er et rodkit?

Valg af editor

Sådan tjekker du din Mac for rootkits

Hvis din Mac opfører sig mærkeligt, og du har mistanke om et rootkit, så skal du i gang med at downloade og scanne med flere forskellige værktøjer. Det er værd at bemærke, at du kan have et rootkit installeret og ikke engang kender det

Sådan gør du Safari&8217;s private browsing-funktion faktisk privat

Så snart du åbner din webbrowser, kan al din aktivitet online spores (og bliver) sporet. De websteder, du besøger, de ting, du køber online, og de tjenester, du logger på

Sådan konverteres en MP3- eller M4A-fil til en iPhone-ringetone

Så hvad er en iPhone-ringetone overhovedet. Faktisk er det bare en almindelig iTunes

8 Nyttige OS X-tastaturgenveje

Apple er det bedste valg for brugere, der ønsker at være mere produktive og mere effektive, og det er der god grund til. MacOS er trods alt udstyret med en masse tastaturgenveje, der gør arbejdet lettere

Mac-tastaturgenveje, når din Mac fryser

Da Mac-computere er nogle af de mest pålidelige computere derude, er det ikke mange brugere, der kommer til at opleve den følelse, man får, når man ser dødens snurrende hjul på skærmen. Men når det sker, og din computer fryser, er det godt at have mulighed for at bruge den rigtige tastaturgenvej til at løse problemet.

Kom godt i gang med Subversion ved hjælp af SvnX

Hvis du er en udvikler, giver versionskontrolsoftware dig mulighed for at holde styr på ændringer i din kode. Dette er vigtigt på projekter, hvor du arbejder som en del af et team, så du kan spore ændringer, efterhånden som de sker