Rootkit


Rootkit (от англ. root kit, "набор root'а") — программа или набор программ для скрытия следов присутствия злоумышленника или вредоносной программы в системе.

Изначально понятие Rootkit использовалось в мире UNIX, где под "Руткитом" подразумевали набор утилит, устанавливаемый на взломанном компьютере после получения прав суперпользователя, что впоследствии позволяло полностью скрыть следы какой-либо хакерской деятельности. Rootkit не только позволял взломщику закрепиться во взломанной системе, но и скрыть следы его деятельности путем сокрытия файлов, процессов и даже свое собственное присутствие (присутствие руткита).

В операционных системах Microsoft Windows термин "RootKit" - это программа или даже программный код, направленный на маскировку или сокрытие заданных объектов в системе. Rootkits могут прятать от пользователя файлы, папки и ключи реестра, скрывать запущенные программы, системные службы, драйверы и сетевые соединения. Т.е. злоумышленник имеет возможность создавать файлы и ключи реестра, запускать программы, работать с сетью и эта активность не будет обнаружена администратором. Rootkits могут скрывать сетевую активность путем модификации стека протоколов TCP/IP.
Подобное осуществляется различными методами: в первую очередь с помощью перехвата базовых функций ОС (Win32 или Native API), изменением содержимого системных таблиц процессора (GDT, LDT, IDT) и модификаций системных структур операционной системы.
Другими словами, благодаря руткиту можно скрыть всё, что позволило бы обнаружить на компьютере постороннее приложение.

Принцип работы Rootkit условно разделяют на две группы:

  • User Mode Rootkits (UMR) - т.н. Rootkit, работающие в режиме пользователя;
  • Kernel Mode Rootkit (KMR) - т.н. Rootkit, работающие в режиме ядра.

Работа UMR базируется на перехвате функций библиотек пользовательского режима, а работа KMR базируется на установке в систему драйвера, осуществляющего перехват функций на уровне системного ядра, что значительно усложняет его обнаружение и обезвреживание.

Технологии Rootkit применяются не только вредоносными приложениями.