Ющук Евгений Леонидович (yushchuk) wrote,
Ющук Евгений Леонидович
yushchuk

Category:

"Набор для сокрытия следов", rootkit, и как узнать, установлены ли такие наборы на компьютере?

http://www.osp.ru/win2000/worknt/qna/512_36.htm

Что такое "набор для сокрытия следов", rootkit, и как узнать, установлены ли такие наборы на моем компьютере?
Джон Севилл
28.12.2005
Версия для печати
Выскажите свое мнение

Вопрос:
Что такое "набор для сокрытия следов", rootkit, и как узнать, установлены ли такие наборы на моем компьютере?

Ответ:
rootkit - это термин, используемый для описания программ, которые позволяют вредоносному программному обеспечению, т.е. вирусам и шпионским программам, скрыть свое присутствие в системе. Rootkit, как правило, играют в системах роль "черного хода" и дают хакерам возможность проникать в систему с администраторскими правами или же помогают поддерживать такое состояние системы, при котором к ней без труда можно получить доступ. Подробнее о rootkit рассказано в статье http://list.windowsitpro.com/t?ctl=1A22B:29133.

Существуют различные виды rootkit. Есть постоянно действующие (persistent), в этом случае соответствующие команды размещаются в реестре или файловой системе и выполняются каждый раз при запуске системы; есть резидентные (memory-resident), время жизни которых ограничено моментом перезагрузки. rootkit могут работать как в режиме пользователя, так и в режиме ядра. Большинство rootkit запускается в пользовательском режиме, но с административными привилегиями. Такие rootkit прячутся при помощи перехвата вызовов API, которые могли бы выявить их наличие среди процессов или в файловой системе, и последующей фильтрации результатов вызовов API с удалением любых упоминаний о себе. Такие наборы в состоянии скрыться от утилит пользовательского режима, но не от сканеров, работающих в привилегированном режиме ядра.

"Ядерные" rootkit работают как часть операционной системы и нередко полностью "заваливают" операционную систему - такое поведение системы обычно и позволяет обнаружить присутствие набора сокрытия следов. Когда машина по непонятным причинам начинает "валиться" с завидной регулярностью, это может быть проявлением работы rootkit в режиме ядра.

Есть замечательная программка, называется она RootkitRevealer, загрузить ее можно по адресу http://list.windowsitpro.com/t?ctl=1A223:29133. Эта утилита сканирует систему и выявляет любые нарушения, которые могут свидетельствовать о присутствии в системе rootkit.

Джон Севилл (john@savilletech.com) - Консультант, автор книги Windows Server 2003 Active Directory Design and Implementation (издательство Packt Publishing), имеет сертификат MCSE.

Статья Google без секретов (операторы Гугла в практических примерах)

Статья «Кадровая дилемма в конкурентной разведке: «Маркетологи» или «Безопасники»

На главную страницу сайта "Конкурентная разведка для работающих в российском бизнесе"


Открытый мастер-класс Ющука Евгения Леонидовича. Ющук Евгений Леонидович
"Конкурентная разведка против PR в живом эфире". В порядке ответа на
"Черный список", автор которого Кузнецов Сергей Валентинович



Кузнецов Сергей Валентинович

 

Subscribe
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 0 comments