Руткит

от Уикипедия, свободната енциклопедия
Направо към: навигация, търсене

Rootkit или руткит (от англ. root kit, „набор от средства за получаване на root права“) e програма или набор от програми за скрито превземане и удържане контрола над една компютърна система.

Произход[редактиране | edit source]

Терминът произлиза от UNIX средите, където потребителят с най-големите права, аналогичен на „Администратор“ в Windows, се нарича „root“. Там са били разработени първите набори такива програми, които хакерът е инсталирал след първоначалното проникване в системата. Освен да дават достъп на хакера като root (супер потребител), тези набори се грижат за укриване на собственото си съществуване и действия. Освен като отделни програми, руткитът може да е във вид на злонамерено променени програмни файлове на системата, с които са подменени оригиналните ѝ. Към руткита влизат и останалите хакерски програми, работещи на превзетият компютър - снифъри, скенери, троянски коне. Обикновено изпълнението на такива програми на чуждия комютър е целта на превземането.

Действие[редактиране | edit source]

В операционната система Windows под Rootkit се разбира внедрена в системата програма, която прихваща системните функции. Така достатъчно качествено маскира присъствието им в системата. Работещият руткит прави невидими някои процеси и услуги, както и файлове, и цели директории по диска. Някои Rootkit качват в системата свои драйвери и услуги (services), като естествено и това е невидимо. В UNIX/Linux rootkit-ът обикновено е комплект от системни програми модифицирани така, че да скриват присъствието на натрапника и модул/модули за ядрото на операционната система целящи същото.

Добре работещият руткит може да бъде неоткриваем. Той не оставя следи по логовете. Показва фалшифицирани конфигурационни файлове и/или ключове в регистратурата, от които не личи неговото стартиране. Показва фалшиви данни за работещите процеси и натоварването на процесора. Не дава да се видят, променят или трият неговите файлове. Накратко: работещият на този компютър вижда не истинското положение, а това, което му показва руткитът. За работещ руткит може да възникне съмнение само по усет - „тази система не е натоварена, а работи бавно“ или по логове на мрежовата активност на засегнатия компютър, но направени от друг компютър, за да се избегне вероятността руткитът да фалшифицира и тях.

От Rootkit се възползват не само хакери. Например Sony BMG използваше такъв за защита на музикални дискове с авторски права. Руткита се качва без знанието (да не говорим за съгласието!) на потребителя, ако той ползва функцията AUTORUN на Windows.

Откриване и премахване[редактиране | edit source]

Съществуват инструменти както за UNIX и UNIX-подобните операционни системи, така и за версиите на Microsoft Windows, предназначени за откриване и премахване на руткит-ове. Два от най-популярните такива инструменти са chkrootkit за UNIX, RootkitRevealer и Gmer за Windows.