August 14
La maggior parte degli utenti di computer conoscono l'importanza di proteggere i loro sistemi da software dannoso (malware) come ad esempio virus informatici. Tuttavia, la maggior parte degli utenti sono al buio su come alcuni di questi programmi dannosi riescono a rimanere nascosto anche con l'antivirus più importanti e aggiornati e applicazioni anti-spyware in esecuzione rigorosi processi di protezione. La risposta è attraverso un rootkit. Questo è un codice scritto e incorporato in un programma specifico che può consentire l'esecuzione inosservato. I rootkit sono in genere divisi in quattro categorie.
In genere, i rootkit kernel-based sono i codici che sono in grado di mascherare se stessi sotto moduli caricabili del sistema operativo e dei driver di periferica. Poiché questi rootkit sono incorporati all'interno di componenti importanti, rilevando loro può essere difficile. Un kernel-based riscritture rootkit e modifica il codice del kernel di rimanere nascosto e manipolare ogni aspetto del sistema operativo.
Perché è all'interno del kernel, che ha praticamente piena libertà di movimento all'interno del sistema. Alcuni popolari dannosi kernel-based esempi rootkit in Windows sono TR / Rootkit.Gen, W32.Focelto.A e Haxdoor rootkit.
rootkit basati su applicazioni sono piuttosto comuni. Essi trovano la loro strada in un sistema informatico attraverso l'installazione o l'aggiornamento del software, come word-processing, grafica-editing, giochi e altri programmi per computer di uso comune. Questi rootkit si presentano sotto forma di un file di libreria di applicazioni che sarà associato con l'applicazione installata. Sarà modificare il comportamento dell'applicazione per sfuggire ad un controllo e fare ciò che è stato scritto per fare.
Ad esempio, quando si utilizza un sistema basato su Windows, si incontrano spesso questa minaccia per mezzo di un file DLL sospetto. Il rootkit sarà quindi replicare alcuni processi di eludere il rilevamento mentre cattura le informazioni nel sistema. rootkit basati su applicazioni sono più facili da gestire rispetto ad altri tipi, poiché la maggior parte del software di sistema di protezione aggiorna costantemente le definizioni per includere questi tipi di codici maligni.
Un rootkit firmware-based è un codice appositamente progettato per creare un'istanza permanente del Trojan o malware in un dispositivo attraverso il suo firmware - una combinazione di hardware e software, come ad esempio i chip per computer. Per esempio, un semplice router DSL residenziale utilizza firmware. Se il suo firmware è compromessa da un rootkit, non c'è davvero nessun modo per rilevarlo e il danno che può causare può essere enorme, soprattutto perché tutti i dati che inviare e ricevere on-line passa attraverso il router.
In sostanza, ci sono solo due modi in cui un rootkit si possono incorporare nel firmware di un hardware specifico - attraverso un aggiornamento del firmware o attraverso l'acquisto, in cui il venditore installa volutamente il rootkit prima di venderlo.
Considerato minacce di basso livello, rootkit virtuali o virtualizzati dirottamento e modificare un sistema ed effettuare il boot fino ad apparire come una macchina virtuale. In questo modo il rootkit per catturare i dati dall'hardware come macchina ospite lo richiede. Mentre questi tipi di rootkit non sono comuni, si tratta di una vulnerabilità che Microsoft e Linux sono consapevoli.