0

بلاگ

جت اموز > وبلاگ جت آموز > شبکه و امنیت > روت کیت (Rootkit) چیست؟

روت کیت (Rootkit) چیست؟

1403/07/02
ارسال شده توسط
شبکه و امنیت
1.61k بازدید
روتکیت (Rootkit) چیست؟

روت کیت (Rootkit) چیست؟

روتیک یا Rootkit از جمله بدافزارهایی محسوب می شود که با هدف اصلی مخفی ماندن در سیستم قربانی به دنیا معرفی شده است. هدف اصلی Rootkit ها مخفی کردن یک سری چیزها از دید کاربر و همچنین از دید نرم افزارهای امنیتی است تا هکر یا مهاجم بتواند در فرصت مناسب به اهدافش سریعتر دسترسی پیدا کند.

بگذارید با یک مثال برای شما موضوع را بیشتر باز کنیم. فرض کنید که یک هکر به سیستم قربانی نفوذ کرده است و در آن بدافزارهایی را برای دسترسی بعدی به سیستم قربانی تعبیه کرده است، حال اگر نرم افزار امنیتی بر روی سیستم قربانی نصب شده و شروع به اسکن کند ممکن است این بدافزارها شناسایی شوند.

ساده ترین راه شناسایی این بدافزارها نگاه کردن به تعداد و نام Process های سیستم یا نگاه کردن Connection های ورودی و خروجی از شبکه سیستم قربانی یا کلیدهای رجیستری است که مشکوک به آلوده شدن هستند.

خوب همین جا اگر شما بدافزاری داشته باشید که بتواند پردازش های خاصی را در سیستم مخفی کند، برخی از Connection های شبکه را نمایش ندهد و مخفی کند یا کلیدهای رجیستری را نیز مخفی کند، این دقیقا همان Rootkit است که وظیفه مخفی کردن فعالیت های یک مهاجم را برای حفظ دسترسی های بعدی به سیستم بر عهده دارد.

نکته:

روتکیت ها معمولا در سطح کرنل سیستم عامل و پایین ترین (بالاترین دسترسی به سیستم عامل) لایه هسته سیستم عامل کار می کنند تا بتوانند نهایت مخفی کاری را انجام بدهند. بیشتر Rootkit ها امروزه در سطح درایورهای سخت افزاری (حتی به عنوان یک درایور سخت افزاری) در سیستم قربانی نصب می شوند و در اصطلاح Kernel-Modules یا ماژول های درایورهای سیستم را آلوده می کنند.

برخی از انواع Rootkit ها می توانند حتی Call ها یا فراخوانی های سیستم عامل را تحت تاثیر قرار بدهند و کنترل دستورات سیستم عامل را در دست بگیرند که معمولا بدافزارها چنین کاری را انجام نمی دهند.

روتکیت (Rootkit) چیست؟Rootkit ها معمولا خودشان را درون حافظه های کارت های گرافیک یا حتی کارت های PCI سیستم قرار می دهند و براحتی از دست آنتی ویروس هایی که به روز نیستند در امان می مانند. Rootkit ها انواع و اقسام متنوعی دارند و می توانند در سطح Firmware ها، در سطح Boot Loader های سیستم عامل (Bootkit)، در سطح Hypervisor ها در مجازی سازی، در سطح Application ها، در سطح حافظه یا Memory و … در سیستم قربانی فعالیت کرده و مخفی بمانند.

اساسا Rootkit را می توان جزو خطرناک ترین نوع بدافزارها دانست و شناسایی کردن آنها معمولا فقط به روش های پیشگیرانه امکانپذیر است زیرا این نوع بدافزار بصورت مستقیم فایل های اصلی سیستم عامل را تغییر داده و برای خودش دلخواه سازی می کند و تنها راه اصلی جلوگیری از این آلودگی استفاده از مکانیزمی به نام SIV است.

نویسنده : محمد نصیری

اشتراک گذاری:
برچسب ها:
در تلگرام
کانال ما را دنبال کنید!
در اینستاگرام
ما را دنبال کنید!
در یوتوب
ما را دنبال کنید!
Created by potrace 1.14, written by Peter Selinger 2001-2017
در آپارات
ما را دنبال کنید!

مطالب زیر را حتما مطالعه کنید

دیدگاهتان را بنویسید