Термин "Руткит"

Руткит

Этим термином обозначается программа (или их комплекс), который предназначен для скрытия следов постороннего ПО или злоумышленника.

Впервые термин Rootkit появился в мире UNIX. Под ним понимался комплекс утилит или даже специальный модуль ядра, который устанавливали на взломанную компьютерную систему сразу же, как только злоумышленник получал права суперпользователя. Основное назначение руткита – скрывать сканеры, «трояны», кейлоггеры, снифферы и прочее ПО, которое замещает стандартные утилиты UNIX. Руткит дает взломщику возможность эффективно закрепиться в выбранной системе и полностью скрыть следы своего пребывания и деятельности (в частности, «лишние» процессы и файлы).

Руткиты классифицируют:

• по уровню привилегий – уровень пользователя и уровень ядра;
• по принципу действия – такие, которые изменяют алгоритм выполнения системной функции, и те, которые изменяют системную структуру данных.

Как реализуются функции руткитов?

Microsoft Windows использует специальную подсистему – Windows File Protection, что существенно усложняет переписывание файлов системы. Именно поэтому чаще всего в данном случае используются варианты модификации памяти. К примеру – перехват системной функции на уровне пользователя, на уровне ядра, изменение системной структуры данных или же загрузка до ядра ОС (буткит). Все эти варианты известны с начала 90-х годов и носят общее название стелс-вирусов.

В UNIX необходимые функции реализуются на основе подмены основных системных утилит. Впрочем, этот вариант легко обнаруживается средствами контроля целостности и достаточно легко блокируется. Кроме того, возможен перехват таблицы системных вызовов или же модификация физической памяти ядра.

Что интересно, руткит эффективно маскирует не только себя, но и любые файлы и каталоги, которые описаны на основе его конфигурации. Вполне логично, что на этой основе были разработаны руткитные (навесные) библиотеки. Кроме того, некоторые руткиты с легкостью добавляют в систему собственные службы и драйвера – естественно, они также остаются невидимыми.

Руткит может быть и вполне легальным. Именно на такой основе создано большинство средств защиты от копирования, которые активно используются на лицензионных дисках. Активно создаются и антируткиты – они активно отслеживают присутствие руткита в системе и могут удалять их. Чаще всего используются разные способы получения одной и той же информации с последующим поиском расхождений между результатами.