Руткит

от Уикипедия, свободната енциклопедия

Rootkit или руткит (от англ. root kit, „набор от средства за получаване на root права“) e програма или набор от програми за скрито превземане и удържане контрола над една компютърна система.

[редактиране] Произход

Терминът произлиза от UNIX средите, където потребителят с най-големите права, аналогичен на „Администратор“ във Windows, се нарича „root“. Там са били разработени първите набори такива програми, които хакерът е инсталирал след първоначалното проникване в системата. Освен да дават достъп на хакера като root (супер потребител), тези набори се грижат за укриване на собственото си съществуване и действия. Освен като отделни програми, руткита може да е във вид на злонамерено променени програмни файлове на системата, с които са подменени оригиналните ѝ. Към руткита влизат и останалите хакерски програми, работещи на превзетият компютър - снифъри, скенери, троянци. Обикновено изпълнението на такива програми на чуждия комютър е целта на превземането.

[редактиране] Действие

В операционната система Windows под Rootkit се разбира внедрена в системата програма, коята прихваща системните функции (Windows API). Така достатъчно качествено маскира присъствието им в системата. Работещият руткит прави невидими някои процеси и услуги, както и файлове, и цели директории по диска. Някои Rootkit качват в системата свои драйвери и услуги (services), като естествено и това е невидимо. В UNIX/Linux rootkit-а обикновено е комплект от системни програми модифицирани така, че да скриват присъствието на натрапника и модул/модули за ядрото на операционната система целящи същото.

Добре работещият руткит може да бъде неоткриваем. Той не оставя следи по логовете. Показва фалшифицирани конфигурационни файлове и/или ключове в регистратурата, от които не личи неговото стартиране. Показва фалшиви данни за работещите процеси и натоварването на процесора. Не дава да се видят, променят или трият неговите файлове. Накратко: работещият на този компютър вижда не истинското положение, а това, което му показва руткита. За работещ рутит може да възникне съмнение само по усет -„тази система не е натоварена, а бавно работи“ или по логове на мрежовата му активност, правени не на този компютър, защото руткита и тях ще покаже фалшифицирани.

От Rootkit се възползват не само хакери. Например Sony BMG използваше такъв за защита на музикални дискове с авторски права. Руткита се качва без знанието (да не говорим за съгласието!) на потребителя, ако той ползува функцията AUTORUN на Windows.

[редактиране] Откриване и премахване

Съществуват инструменти както за UNIX и UNIX-like операционни системи, така и за вариантите на Microsoft Windows предназначени за откриване и премахване на руткит-ове. Двата най-известни са chkrootkit за UNIX и RootkitRevealer и Gmer за Windows.