Rootkit

Rootkit (руткит, от англ. root kit, то есть «набор root'а») — программа или набор программ для скрытия следов присутствия злоумышленника или вредоносной программы в системе.

Термин Rootkit исторически пришёл из мира UNIX, и под этим термином понимается набор утилит или специальный модуль ядра, которые взломщик устанавливает на взломанной им компьютерной системе сразу после получения прав суперпользователя. Этот набор, как правило, включает в себя разнообразные утилиты для «заметания следов» вторжения в систему, сниферы, сканеры, кейлоггеры, троянские программы, замещающие основные утилиты UNIX (в случае неядерного руткита). Rootkit позволяет взломщику закрепиться во взломанной системе и скрыть следы своей деятельности путём сокрытия файлов, процессов а также самого присутствия руткита в системе.

Классификация руткитов

    * По уровню привилегий
          o Уровня пользователя (user-mode)
          o Уровня ядра (kernel-mode)
    * По принципу действия
          o изменяющие алгоритмы выполнения системных функций (Modify execution path)
          o изменяющие системные структуры данных (Direct kernel object manupulation)

Основные методы реализации

В Windows из-за Windows File Protection переписывание системных файлов затруднено (хотя и его можно обойти!), поэтому основные способы внедрения в систему — модификация памяти.

    * перехват системных функций Windows API (API hooking) на уровне пользователя;
    * то же на уровне ядра (перехват Native API);
    * изменение системных структур данных;
    * модификация MBR и загрузка до ядра операционной системы - буткиты (известный представитель BackDoor.MaosBoot).

Данный вид вредоносных кодов очень давно известен в мире Windows и с начала 90х годов прошлого столетия носит название стелс-вируса (Stealth). Кроме того, руткиту нужно как-то поставить себя на автозапуск. «К счастью», в Windows для этого существует множество способов помимо «стандартных».

Дополнительные возможности

Кроме непосредственно себя руткит, как правило, может маскировать присутствие в системе любых описанных в его конфигурации каталогов и файлов на диске, ключей в реестре. По этой причине естественным образом появились «навесные» руткитные библиотеки. Многие rootkit устанавливают в систему свои драйверы и службы (они, естественно, также являются «невидимыми»).

Легальные руткиты

Руткиты могут «подкидывать» не только злоумышленники. Небезызвестен случай, когда корпорация Sony встраивала подобие руткита в свои лицензионные аудиодиски (см. Защита от несанкционированного копирования#Защита аудио компакт-дисков). Руткитами по сути является большинство программных средств защиты от копирования (и средств обхода этих защит — например, эмуляторы CD и DVD приводов). От «нелегальных» они отличаются только тем, что ставятся с ведома пользователя.

Антируткиты

Это утилиты или резидентные модули, обнаруживающие в системе присутствие руткитов и (в разной мере) удаляющие их. Существует множество конкурирующих средств для этого — как платных, так и бесплатных, но все они используют сходные принципы действия:

Поиск расхождений

Против MEP-руткитов. Одна и та же информация получается несколькими способами с использованием API и «напрямую» и ищутся расхождения. В частности, обычно сканируются таблицы импорта, таблица Native API, файловая система.

Бесплатные

    * Hypersight Rootkit Detector Единственный антируткит, который определяет руткиты, работающие в режиме hypervisor.
    * Dr.Web CureIt! — Антируткит и не только.
    * GMER — один из самых лучших анти-руткитов. Обнаруживает в AD-Streams.
    * Grisoft AVG Antirootkit — один из самых лучших анти-руткитов.
    * RootKit Unhooker — один из самых лучших анти-руткитов. Но с частыми зависаниями.
    * AVZ — не специализированное средство, но антируткит — один из компонентов.
    * AnVir Task Manager — не специализированное средство, но антируткит — один из компонентов.
    * Catchme
    * DarkSpy Anti-Rootkit
    * Helios
    * IceSword
    * OSAM — не специализированное средство, но антируткит — один из компонентов.
    * RKDetector
    * RootKit Hook Analyzer
    * Rootkit Revealer

Коммерческие

    * Avira Antivir Rootkit
    * BitDefender Antirootkit
    * Dr.Web — cканер Dr.Web для Windows содержит антируткит модуль
    * F-Secure BackLite
    * McAfee Rootkit Detective
    * Panda AntiRootkit
    * Sophos Anti-Rootkit
    * Trend Micro RootkitBuster
    * Kaspersky: AntiVirus и Internet Security — комплексные защиты, включающие в себя антируткиты

 Эта статья находится под лицензией GNU Free Documentation License. Она использует материалы из Википедеи.