руткиты
Автор Joker задал вопрос в разделе Другие языки и технологии
Что такое "руткиты" и получил лучший ответ
Ответ от Дмитрий Алексеев[гуру]
Руткит- попросту говоря, это то, что внедряется в ваш компьютер и скрывает следы своего присутствия (скрывает файлы, процессы, самого себя) так, что вы не замечаете, что в вашем компьютере без вашего ведома и согласия кто-то что-то делает. Это могут делать программы шпионы для сбора вашей информации, например, для коммерческой или другим образом материальной выгоды.
Значение этого термина близко к понятию "набор программ", то есть, это даже не одна программа, а программный комплекс, разработанный для этих целей.
Ответ от AspiD[активный]
Вредоносные программы, которые свою деятельность маскируют под "хорошие". Некоторые особи способны изменять файлы антивирусов, тем самым блокируя их работу.
Вредоносные программы, которые свою деятельность маскируют под "хорошие". Некоторые особи способны изменять файлы антивирусов, тем самым блокируя их работу.
Ответ от Igor Lakhardov[гуру]
Вобщем уже ответили, подробней
Вобщем уже ответили, подробней
Ответ от Катерина[гуру]
Rootkit (руткит, от англ. root kit, то есть «набор root'а» ) — программа или набор программ для скрытия следов присутствия злоумышленника или вредоносной программы в системе.
Термин Rootkit исторически пришёл из мира UNIX, и под этим термином понимается набор утилит или специальный модуль ядра, которые взломщик устанавливает на взломанной им компьютерной системе сразу после получения прав суперпользователя. Этот набор, как правило, включает в себя разнообразные утилиты для «заметания следов» вторжения в систему, снифферы, сканеры, кейлоггеры, троянские программы, замещающие основные утилиты UNIX (в случае неядерного руткита). Rootkit позволяет взломщику закрепиться во взломанной системе и скрыть следы своей деятельности путём сокрытия файлов, процессов, а также самого присутствия руткита в системе.
Классификация руткитов
По уровню привилегий
Уровня пользователя (user-mode)
Уровня ядра (kernel-mode)
По принципу действия
изменяющие алгоритмы выполнения системных функций (Modify execution path)
изменяющие системные структуры данных (Direct kernel object manupulation
В Microsoft Windows
В Windows из-за Windows File Protection переписывание системных файлов затруднено (хотя и его можно обойти!) , поэтому основные способы внедрения в систему — модификация памяти.
перехват системных функций Windows API (API hooking) на уровне пользователя;
то же на уровне ядра (перехват Native API);
изменение системных структур данных;
модификация MBR и загрузка до ядра операционной системы — буткиты (известный представитель BackDoor.MaosBoot).
Данный вид вредоносных кодов очень давно известен в мире Windows и с начала 90х годов прошлого столетия носит название стелс-вируса (Stealth). Кроме того, руткиту нужно как-то поставить себя на автозапуск. Нельзя не признать, что в Windows для этого существуют способы помимо «стандартных» .
В UNIX
реализуемые подменой основных системных утилит (очень легко обнаруживаются средствами контроля целостности, кроме того, легко блокируются средствами типа SELinux (RedHat) и AppArmor (SUSE));
реализованные в виде модуля ядра и основанные на патчинге VFS или перехвате таблицы системных вызовов (sys_call_table);
основанные на модификации физической памяти ядра.
Кроме непосредственно себя руткит, как правило, может маскировать присутствие в системе любых описанных в его конфигурации каталогов и файлов на диске, ключей в реестре. По этой причине естественным образом появились «навесные» руткитные библиотеки. Многие rootkit устанавливают в систему свои драйверы и службы (они, естественно, также являются «невидимыми») .
Антируткиты
Это утилиты или резидентные модули, обнаруживающие в системе присутствие руткитов и (в разной мере) удаляющие их. Существует множество конкурирующих средств для этого — как платных, так и бесплатных, но все они используют сходные принципы действия:
Примеры
Бесплатные
Avast! Antivirus — не специализированное средство, но антируткит — один из компонентов.
Hypersight Rootkit Detector — Единственный антируткит, который определяет руткиты, работающие в режиме hypervisor.
Dr.Web CureIt! — Антируткит и не только.
GMER — один из самых лучших анти-руткитов. Обнаруживает в AD-Streams.
Grisoft AVG Antirootkit — один из самых лучших анти-руткитов. Как отдельный продукт больше не поддерживается, ссылка перенапраяляется на AVG Internet Security 8.0
RootKit Unhooker — один из самых лучших анти-руткитов. Но с частыми зависаниями.
AVZ — не специализированное средство, но антируткит — один из компонентов.
Catchme
DarkSpy Anti-Rootkit
Helios
IceSword
OSAM — не специализированное средство, но антируткит — один из компонентов.
RKDetector
RootKit Hook Analyzer
Rootkit Revealer
Chkrootkit
The Rootkit Hunter
Коммерческие
Avira Antivir Rootkit
BitDefender Antirootkit
Dr.Web — сканер Dr.Web для Windows содержит антируткит модуль
F-Secure BackLite
McAfee Rootkit Detective
Panda AntiRootkit
Sophos Anti-Rootkit
Trend Micro RootkitBuster
Kas
Rootkit (руткит, от англ. root kit, то есть «набор root'а» ) — программа или набор программ для скрытия следов присутствия злоумышленника или вредоносной программы в системе.
Термин Rootkit исторически пришёл из мира UNIX, и под этим термином понимается набор утилит или специальный модуль ядра, которые взломщик устанавливает на взломанной им компьютерной системе сразу после получения прав суперпользователя. Этот набор, как правило, включает в себя разнообразные утилиты для «заметания следов» вторжения в систему, снифферы, сканеры, кейлоггеры, троянские программы, замещающие основные утилиты UNIX (в случае неядерного руткита). Rootkit позволяет взломщику закрепиться во взломанной системе и скрыть следы своей деятельности путём сокрытия файлов, процессов, а также самого присутствия руткита в системе.
Классификация руткитов
По уровню привилегий
Уровня пользователя (user-mode)
Уровня ядра (kernel-mode)
По принципу действия
изменяющие алгоритмы выполнения системных функций (Modify execution path)
изменяющие системные структуры данных (Direct kernel object manupulation
В Microsoft Windows
В Windows из-за Windows File Protection переписывание системных файлов затруднено (хотя и его можно обойти!) , поэтому основные способы внедрения в систему — модификация памяти.
перехват системных функций Windows API (API hooking) на уровне пользователя;
то же на уровне ядра (перехват Native API);
изменение системных структур данных;
модификация MBR и загрузка до ядра операционной системы — буткиты (известный представитель BackDoor.MaosBoot).
Данный вид вредоносных кодов очень давно известен в мире Windows и с начала 90х годов прошлого столетия носит название стелс-вируса (Stealth). Кроме того, руткиту нужно как-то поставить себя на автозапуск. Нельзя не признать, что в Windows для этого существуют способы помимо «стандартных» .
В UNIX
реализуемые подменой основных системных утилит (очень легко обнаруживаются средствами контроля целостности, кроме того, легко блокируются средствами типа SELinux (RedHat) и AppArmor (SUSE));
реализованные в виде модуля ядра и основанные на патчинге VFS или перехвате таблицы системных вызовов (sys_call_table);
основанные на модификации физической памяти ядра.
Кроме непосредственно себя руткит, как правило, может маскировать присутствие в системе любых описанных в его конфигурации каталогов и файлов на диске, ключей в реестре. По этой причине естественным образом появились «навесные» руткитные библиотеки. Многие rootkit устанавливают в систему свои драйверы и службы (они, естественно, также являются «невидимыми») .
Антируткиты
Это утилиты или резидентные модули, обнаруживающие в системе присутствие руткитов и (в разной мере) удаляющие их. Существует множество конкурирующих средств для этого — как платных, так и бесплатных, но все они используют сходные принципы действия:
Примеры
Бесплатные
Avast! Antivirus — не специализированное средство, но антируткит — один из компонентов.
Hypersight Rootkit Detector — Единственный антируткит, который определяет руткиты, работающие в режиме hypervisor.
Dr.Web CureIt! — Антируткит и не только.
GMER — один из самых лучших анти-руткитов. Обнаруживает в AD-Streams.
Grisoft AVG Antirootkit — один из самых лучших анти-руткитов. Как отдельный продукт больше не поддерживается, ссылка перенапраяляется на AVG Internet Security 8.0
RootKit Unhooker — один из самых лучших анти-руткитов. Но с частыми зависаниями.
AVZ — не специализированное средство, но антируткит — один из компонентов.
Catchme
DarkSpy Anti-Rootkit
Helios
IceSword
OSAM — не специализированное средство, но антируткит — один из компонентов.
RKDetector
RootKit Hook Analyzer
Rootkit Revealer
Chkrootkit
The Rootkit Hunter
Коммерческие
Avira Antivir Rootkit
BitDefender Antirootkit
Dr.Web — сканер Dr.Web для Windows содержит антируткит модуль
F-Secure BackLite
McAfee Rootkit Detective
Panda AntiRootkit
Sophos Anti-Rootkit
Trend Micro RootkitBuster
Kas
Ответ от Ольга Иванова[гуру]
Rootkit (руткит, от англ. root kit, то есть «набор root'а» ) — программа или набор программ для скрытия следов присутствия злоумышленника или вредоносной программы в системе.
Термин Rootkit исторически пришёл из мира UNIX, и под этим термином понимается набор утилит или специальный модуль ядра, которые взломщик устанавливает на взломанной им компьютерной системе сразу после получения прав суперпользователя. Этот набор, как правило, включает в себя разнообразные утилиты для «заметания следов» вторжения в систему, снифферы, сканеры, кейлоггеры, троянские программы, замещающие основные утилиты UNIX (в случае неядерного руткита). Rootkit позволяет взломщику закрепиться во взломанной системе и скрыть следы своей деятельности путём сокрытия файлов, процессов, а также самого присутствия руткита в системе.
Rootkit (руткит, от англ. root kit, то есть «набор root'а» ) — программа или набор программ для скрытия следов присутствия злоумышленника или вредоносной программы в системе.
Термин Rootkit исторически пришёл из мира UNIX, и под этим термином понимается набор утилит или специальный модуль ядра, которые взломщик устанавливает на взломанной им компьютерной системе сразу после получения прав суперпользователя. Этот набор, как правило, включает в себя разнообразные утилиты для «заметания следов» вторжения в систему, снифферы, сканеры, кейлоггеры, троянские программы, замещающие основные утилиты UNIX (в случае неядерного руткита). Rootkit позволяет взломщику закрепиться во взломанной системе и скрыть следы своей деятельности путём сокрытия файлов, процессов, а также самого присутствия руткита в системе.
Ответ от Kiber[новичек]
Первые подобные программы появились около 20 лет назад, преимущественно на Unix, откуда и пришел термин руткит. Root переводится как «корень» и используется в данном контексте для обозначения роли суперпользователя, имеющего неограниченный доступ к системе. Kit — набор, соответственно, rootkit — набор для получения неограниченного доступа. Наиболее распространены на Windows, однако сейчас все активнее продвигаются на Android.
Первые подобные программы появились около 20 лет назад, преимущественно на Unix, откуда и пришел термин руткит. Root переводится как «корень» и используется в данном контексте для обозначения роли суперпользователя, имеющего неограниченный доступ к системе. Kit — набор, соответственно, rootkit — набор для получения неограниченного доступа. Наиболее распространены на Windows, однако сейчас все активнее продвигаются на Android.
Ответ от Plante )[новичек]
Rootkit (руткит, от англ. root kit, то есть «набор root'а» ) — программа или набор программ для скрытия следов присутствия злоумышленника или вредоносной программы в системе.
Rootkit (руткит, от англ. root kit, то есть «набор root'а» ) — программа или набор программ для скрытия следов присутствия злоумышленника или вредоносной программы в системе.
Ответ от CRAZYAGA[гуру]
Придумали же, РУТКИТЫ, проще говоря вредоносный софт, а еще проще программа способная нанести вред компьютеру.
Придумали же, РУТКИТЫ, проще говоря вредоносный софт, а еще проще программа способная нанести вред компьютеру.
Ответ от Антон Рыжиченко[активный]
Краткость сестра таланта
Руткиты это такие трояны, которые скрывают присутствие другой вредоносной программы.
Краткость сестра таланта
Руткиты это такие трояны, которые скрывают присутствие другой вредоносной программы.
Ответ от 22 ответа[гуру]
Привет! Вот подборка тем с похожими вопросами и ответами на Ваш вопрос: Что такое "руткиты"