Из Википедии, бесплатной энциклопедии
Перейти к навигации Перейти к поиску

Руткит представляет собой набор компьютерных программ , как правило , злонамеренный , предназначенный для обеспечения доступа к компьютеру или области его программного обеспечения, которое иначе не допускаются (например, несанкционированный пользователь) и часто маскирует его существование или существование другого программного обеспечения . [1] Термин « руткит» представляет собой сочетание « root » (традиционное имя привилегированной учетной записи в Unix-подобных операционных системах) и слова «kit» (которое относится к программным компонентам, реализующим инструмент). Термин «руткит» имеет негативный оттенок из-за его связи с вредоносным ПО . [1]

Установка руткита может быть автоматизирована, или злоумышленник может установить его после получения root-прав или прав администратора. Получение такого доступа является результатом прямой атаки на систему, т. Е. Использования известной уязвимости (например, повышения привилегий ) или пароля (полученного путем взлома или тактики социальной инженерии, такой как « фишинг »). После установки становится возможным скрыть вторжение, а также сохранить привилегированный доступ. Полный контроль над системой означает, что существующее программное обеспечение может быть изменено, включая программное обеспечение, которое в противном случае могло бы использоваться для его обнаружения или обхода.

Обнаружение руткитов затруднено, потому что руткит может нарушить работу программного обеспечения, предназначенного для его обнаружения. Методы обнаружения включают использование альтернативной и надежной операционной системы , поведенческие методы, сканирование сигнатур, сканирование различий и анализ дампа памяти . Удаление может быть сложным или практически невозможным, особенно в тех случаях, когда руткит находится в ядре ; переустановка операционной системы может быть единственным доступным решением проблемы. [2] При работе с руткитами встроенного ПО удаление может потребовать замены оборудования или специального оборудования.

История [ править ]

Термин « руткит» или « корневой комплект» первоначально относился к злонамеренно измененному набору административных инструментов для Unix-подобной операционной системы , предоставляющей « root- доступ». [3] Если злоумышленник мог заменить стандартные инструменты администрирования в системе руткитом, он мог бы получить root-доступ в системе, одновременно скрывая эти действия от законного системного администратора . Эти руткиты первого поколения было тривиально обнаружить с помощью таких инструментов, как Tripwire , которые не были скомпрометированы для доступа к той же информации. [4] [5]Лейн Дэвис и Стивен Дейк написал самый ранний известный руткит в 1990 году Sun Microsystems " SunOS операционной системы UNIX. [6] В лекции, которую он прочитал после получения награды Тьюринга в 1983 году, Кен Томпсон из Bell Labs , один из создателей Unix , высказал предположение о подрыве компилятора C в дистрибутиве Unix и обсудил эксплойт. Модифицированный компилятор обнаружит попытки скомпилировать команду Unix loginи сгенерирует измененный код, который будет принимать не только правильный пароль пользователя, но и дополнительный « бэкдор»."пароль, известный злоумышленнику. Кроме того, компилятор обнаружит попытки скомпилировать новую версию компилятора и вставит те же эксплойты в новый компилятор. Обзор исходного кода для loginкоманды или обновленного компилятора не выявит любой вредоносный код. [7] Этот эксплойт был эквивалентом руткита.

Первый задокументированный компьютерный вирус, нацеленный на персональный компьютер , обнаруженный в 1986 году, использовал методы маскировки , чтобы скрыть себя: вирус Brain перехватывал попытки чтения загрузочного сектора и перенаправлял их в другое место на диске, где находилась копия исходного загрузочного сектора. хранился. [1] Со временем методы маскировки DOS- вирусов стали более изощренными. Передовые методы включали перехват низкоуровневых вызовов прерываний INT 13H BIOS диска для сокрытия несанкционированных изменений файлов. [1]

Первый вредоносный руткит для операционной системы Windows NT появился в 1999 году: троян под названием NTRootkit, созданный Грегом Хоглундом . [8] За ним последовал HackerDefender в 2003 году. [1] Первый руткит, нацеленный на Mac OS X, появился в 2009 году, [9] в то время как червь Stuxnet был первым, нацеленным на программируемые логические контроллеры (ПЛК). [10]

Скандал с руткитами Sony BMG [ править ]

Снимок экрана RootkitRevealer , показывающий файлы, скрытые руткитом Extended Copy Protection
Основная статья: Скандал с руткитами Sony BMG с защитой от копирования

В 2005 году Sony BMG выпустила компакт-диски с программным обеспечением для защиты от копирования и управления цифровыми правами под названием Extended Copy Protection , созданным компанией-разработчиком программного обеспечения First 4 Internet. Программное обеспечение включало музыкальный проигрыватель, но автоматически устанавливало руткит, который ограничивал возможности пользователя получить доступ к компакт-диску. [11] Инженер-программист Марк Руссинович , создавший средство обнаружения руткитов RootkitRevealer , обнаружил руткит на одном из своих компьютеров. [1] Последовавший за этим скандал повысил осведомленность общественности о руткитах. [12]Чтобы скрыть себя, руткит скрывал от пользователя любой файл, начинающийся с «$ sys $». Вскоре после доклада Руссиновича появилось вредоносное ПО, которое воспользовалось этой уязвимостью пораженных систем. [1] Один аналитик BBC назвал это « кошмаром по связям с общественностью ». [13] Sony BMG выпустила исправления для удаления руткита, но это подвергло пользователей еще более серьезной уязвимости. [14] В конце концов компания отозвала компакт-диски. В США против Sony BMG был подан коллективный иск . [15]

Греческое дело о прослушивании телефонных разговоров 2004–05 [ править ]

Основная статья: дело о прослушивании телефонных разговоров в Греции, 2004–05 гг.

Дело о прослушивании телефонных разговоров в Греции в 2004–2005 годах, также известное как Greek Watergate, [16], связано с незаконным прослушиванием более 100  мобильных телефонов в сети Vodafone Greece, принадлежащих в основном членам правительства Греции и высокопоставленным государственным служащим. Установки начались где-то в начале августа 2004 г. и были сняты в марте 2005 г. без установления личности преступников. Злоумышленники установили руткит на телефонную станцию Ericsson AX . Согласно IEEE Spectrum , это был «первый раз, когда руткит был обнаружен в системе специального назначения, в данном случае на телефонном коммутаторе Ericsson». [17]Руткит был разработан для исправления памяти обмена во время его работы, включения прослушивания при отключении журналов аудита, исправления команд, которые перечисляют активные процессы и активные блоки данных, и изменения команды проверки контрольной суммы блока данных . «Бэкдор» позволял оператору со статусом системного администратора деактивировать журнал транзакций биржи, сигналы тревоги и команды доступа, связанные с возможностью наблюдения. [17] Руткит был обнаружен после того, как злоумышленники установили ошибочное обновление, которое вызвало SMSтексты, которые необходимо не доставить, что приведет к созданию автоматического отчета о сбоях. Инженеры Ericsson были вызваны для расследования неисправности и обнаружили скрытые блоки данных, содержащие список отслеживаемых телефонных номеров, а также руткит и незаконное программное обеспечение для мониторинга.

Использует [ редактировать ]

Современные руткиты не повышают уровень доступа [3], а, скорее, используются для того, чтобы сделать другую полезную нагрузку программного обеспечения необнаружимой за счет добавления скрытых возможностей. [8] Большинство руткитов классифицируются как вредоносные программы , потому что полезные данные, с которыми они связаны, являются вредоносными. Например, полезная нагрузка может тайно украсть пароли пользователей , информацию о кредитных картах , вычислительные ресурсы или провести другие несанкционированные действия. Небольшое количество руткитов могут рассматриваться их пользователями как служебные приложения: например, руткит может скрывать драйвер эмуляции компакт-диска , позволяя пользователям видеоигр бороться с пиратством. меры, требующие вставки исходного установочного носителя в физический оптический привод для проверки законности приобретения программного обеспечения.

Руткиты и их полезная нагрузка имеют множество применений:

  • Предоставьте злоумышленнику полный доступ через бэкдор , разрешив несанкционированный доступ, например, для кражи или подделки документов. Один из способов сделать это - подорвать механизм входа в систему, такой как программа / bin / login в Unix-подобных системах или GINA в Windows. Замена работает нормально, но также принимает секретную комбинацию входа в систему, которая позволяет злоумышленнику получить прямой доступ к системе с административными привилегиями, минуя стандартные механизмы аутентификации и авторизации .
  • Скрывайте другие вредоносные программы , в частности, кражи паролей клавиатурных шпионов и компьютерные вирусы . [18]
  • Использовать скомпрометированный компьютер в качестве компьютера-зомби для атак на другие компьютеры. (Атака исходит от скомпрометированной системы или сети, а не от системы злоумышленника.) Компьютеры-зомби, как правило, являются членами крупных ботнетов, которые, помимо прочего, могут запускать атаки типа «отказ в обслуживании» , распространять спам в электронной почте и проводить мошенничество с кликами .

В некоторых случаях руткиты предоставляют желаемую функциональность и могут быть установлены намеренно от имени пользователя компьютера:

  • Обеспечение управления цифровыми правами (DRM).
  • Обнаруживайте и предотвращайте мошенничество в онлайн-играх с помощью таких программ, как Warden и GameGuard . [19]
  • Обнаруживайте атаки, например, в приманке . [20]
  • Улучшение программного обеспечения для эмуляции и обеспечения безопасности. [21] Alcohol 120% и Daemon Tools являются коммерческими примерами не враждебных руткитов, используемых для защиты от таких механизмов защиты от копирования, как SafeDisc и SecuROM . Антивирус Касперского также использует приемы, напоминающие руткиты, для защиты от вредоносных действий. Он загружает собственные драйверы, чтобы перехватить активность системы, а затем не позволяет другим процессам причинить себе вред. Его процессы не скрыты, но не могут быть остановлены стандартными методами.
  • Защита от кражи: на ноутбуках может быть установлено программное обеспечение руткитов на основе BIOS, которое будет периодически сообщать центральному органу, что позволяет отслеживать, отключать или стирать информацию в случае кражи портативного компьютера. [22]
  • Обход активации продукта Microsoft [23]

Типы [ править ]

Дополнительная информация: Кольцо (компьютерная безопасность)

Существует как минимум пять типов руткитов, начиная с самого низкого уровня встроенного ПО (с наивысшими привилегиями) и заканчивая наименее привилегированными пользовательскими вариантами, которые работают в Ring 3 . Их гибридные комбинации могут возникать, например, в пользовательском режиме и режиме ядра. [24]

Пользовательский режим [ править ]

Кольца компьютерной безопасности (обратите внимание, что кольцо -1 не показано)

Руткиты пользовательского режима работают в Ring 3 вместе с другими приложениями как пользовательские, а не низкоуровневые системные процессы. [25] У них есть ряд возможных векторов установки для перехвата и изменения стандартного поведения интерфейсов прикладного программирования (API). Некоторые внедряют динамически подключаемую библиотеку (например, файл .DLL в Windows или файл .dylib в Mac OS X ) в другие процессы и, таким образом, могут выполняться внутри любого целевого процесса для его подделки; другие с достаточными привилегиями просто перезаписывают память целевого приложения. Механизмы впрыска включают: [25]

  • Использование расширений приложений, предоставляемых поставщиком. Например, проводник Windows имеет общедоступные интерфейсы, которые позволяют третьим сторонам расширять его функциональные возможности.
  • Перехват сообщений .
  • Отладчики .
  • Использование уязвимостей безопасности .
  • Перехват функций или исправление часто используемых API-интерфейсов, например, чтобы скрыть запущенный процесс или файл, который находится в файловой системе. [26]

... поскольку все приложения пользовательского режима запускаются в собственном пространстве памяти, руткит должен выполнять это исправление в пространстве памяти каждого запущенного приложения. Кроме того, руткит должен отслеживать в системе любые новые приложения, которые запускаются, и исправлять пространство памяти этих программ до их полного выполнения.

-  Обзор руткитов Windows, Symantec [3]

Режим ядра [ править ]

Руткиты режима ядра запускаются с наивысшими привилегиями операционной системы ( кольцо 0 ) путем добавления кода или замены частей основной операционной системы, включая как ядро, так и связанные с ним драйверы устройств . Большинство операционных систем поддерживают драйверы устройств режима ядра, которые выполняются с теми же привилегиями, что и сама операционная система. Таким образом, многие руткиты режима ядра разрабатываются как драйверы устройств или загружаемые модули, такие как загружаемые модули ядра в Linux или драйверы устройств в Microsoft Windows . Этот класс руткитов имеет неограниченный безопасный доступ, но его сложнее написать. [27]Сложность делает ошибки обычными, и любые ошибки в коде, работающем на уровне ядра, могут серьезно повлиять на стабильность системы, что приведет к обнаружению руткита. [27] Один из первых широко известных руткитов для ядра был разработан для Windows NT 4.0 и выпущен в журнале Phrack в 1999 году Грегом Хоглундом . [28] [29] [30] Руткиты ядра могут быть особенно сложными для обнаружения и удаления, поскольку они работают на том же уровне безопасности, что и сама операционная система, и, таким образом, способны перехватывать или нарушать наиболее надежные операции операционной системы. Любое программное обеспечение, например, антивирус., запущенная в скомпрометированной системе, также уязвима. [31] В этой ситуации нельзя доверять ни одной части системы.

Руткит может изменять структуры данных в ядре Windows, используя метод, известный как прямое манипулирование объектами ядра (DKOM). [32] Этот метод можно использовать, чтобы скрыть процессы. Руткит режима ядра также может подключать таблицу дескрипторов системных служб (SSDT) ​​или изменять шлюз между пользовательским режимом и режимом ядра, чтобы скрыть себя. [3] Аналогично операционной системе Linux руткит может изменять таблицу системных вызовов, чтобы подорвать функциональность ядра. [33] Обычно руткит создает скрытую зашифрованную файловую систему, в которой он может скрывать другие вредоносные программы или оригинальные копии зараженных файлов. [34]Операционные системы развиваются, чтобы противостоять угрозе руткитов режима ядра. Например, в 64-разрядных выпусках Microsoft Windows теперь реализована обязательная подпись всех драйверов уровня ядра, чтобы затруднить выполнение ненадежного кода с наивысшими привилегиями в системе. [35]

Буткиты [ править ]

Вариант руткита режима ядра, называемый буткитом, может заразить код запуска, такой как основная загрузочная запись (MBR), объемная загрузочная запись (VBR) или загрузочный сектор , и таким образом может использоваться для атаки систем полного шифрования диска .

Примером такой атаки на шифрование диска является « атака злой горничной », при которой злоумышленник устанавливает буткит на необслуживаемый компьютер. Предполагаемый сценарий - горничная пробирается в номер отеля, где жертвы оставили свое оборудование. [36] Буткит заменяет законный загрузчик загрузчиком, находящимся под их контролем. Обычно загрузчик вредоносных программ сохраняется при переходе в защищенный режим при загрузке ядра и, таким образом, может разрушить ядро. [37] [38] [39] Например, «Stoned Bootkit» разрушает систему, используя скомпрометированный загрузчик для перехвата ключей шифрования и паролей. [40] [самостоятельно опубликованный источник? ]Совсем недавно руткит Alureon успешно преодолел требование подписи 64-битного драйвера режима ядра вWindows 7, изменивглавную загрузочную запись.[41]Хотя это и не является вредоносным ПО в том смысле, что делает что-то, чего пользователь не хочет, определенное программное обеспечение "Vista Loader" или "Windows Loader" работает аналогичным образом,вставляя таблицуACPISLIC (системный лицензированный внутренний код) в ОЗУ. -кэшированная версия BIOS во время загрузки, чтобы прерватьпроцесс активации Windows Vista и Windows 7.[42][43]Этот вектор атаки стал бесполезным в (не серверных) версияхWindows 8., которые используют уникальный машинно-зависимый ключ для каждой системы, который может использоваться только этим одним компьютером. [44] Многие антивирусные компании предоставляют бесплатные утилиты и программы для удаления буткитов.

Уровень гипервизора [ править ]

Руткиты были созданы в академических кругах как гипервизоры типа II в качестве доказательства концепции. Используя функции аппаратной виртуализации, такие как Intel VT или AMD-V , этот тип руткита работает в кольце -1 и размещает целевую операционную систему как виртуальную машину , тем самым позволяя руткиту перехватывать аппаратные вызовы, сделанные исходной операционной системой. [5] В отличие от обычных гипервизоров, они не должны загружаться перед операционной системой, но могут загружаться в операционную систему перед ее продвижением в виртуальную машину. [5]Руткит гипервизора не должен вносить никаких изменений в ядро ​​целевого объекта, чтобы подорвать его; однако это не означает, что гостевая операционная система не может его обнаружить. Например, в инструкциях ЦП можно обнаружить разницу во времени . [5] Лабораторный руткит «SubVirt», разработанный совместно исследователями Microsoft и Университета Мичигана , является академическим примером руткита на основе виртуальной машины (VMBR) [45], а программное обеспечение Blue Pill - другим. В 2009 году исследователи из Microsoft и Университета штата Северная Каролина продемонстрировали антируткит на уровне гипервизора под названием Hooksafe., который обеспечивает общую защиту от руткитов режима ядра. [46] Windows 10 представила новую функцию под названием «Device Guard», которая использует преимущества виртуализации для обеспечения независимой внешней защиты операционной системы от вредоносных программ типа руткитов. [47]

Прошивка и оборудование [ править ]

Микропрограммного руткит использует прошивку устройства или платформ для создания стойкого вредоносным образа в аппаратных средств, такие как маршрутизатор , сетевой карта , [48] жесткий диск , или система BIOS . [25] [49] Руткит скрывается в прошивке, потому что прошивка обычно не проверяется на целостность кода . Джон Хисман продемонстрировал жизнеспособность встроенных руткитов как в процедурах встроенного ПО ACPI [50], так и в ПЗУ карты расширения PCI . [51] В октябре 2008 года преступники взломали европейскую кредитную карту.-читывающие машины до их установки. Устройства перехватывали и передавали данные кредитной карты через сеть мобильной связи. [52] В марте 2009 года исследователи Альфредо Ортега и Анибал Сакко опубликовали подробную информацию о рутките для Windows на уровне BIOS, который смог пережить замену диска и переустановку операционной системы. [53] [54] [55] Несколько месяцев спустя они узнали, что некоторые ноутбуки продаются с легальным руткитом, известным как Absolute CompuTrace или Absolute LoJack для ноутбуков , предустановленным во многих образах BIOS. Это технологическая система защиты от краж, которая, как показали исследователи, может использоваться в злонамеренных целях. [22]

Технология Intel Active Management , часть Intel vPro , реализует внеполосное управление , предоставляя администраторам удаленное администрирование , удаленное управление и удаленное управление.компьютеров без участия главного процессора или BIOS, даже когда система выключена. Удаленное администрирование включает в себя удаленное включение и выключение питания, удаленный сброс, перенаправленную загрузку, перенаправление консоли, доступ к настройкам BIOS перед загрузкой, программируемую фильтрацию входящего и исходящего сетевого трафика, проверку присутствия агента, внеполосное управление на основе политик оповещение, доступ к системной информации, такой как информация об аппаратных активах, постоянные журналы событий и другая информация, которая хранится в выделенной памяти (не на жестком диске), где она доступна, даже если ОС не работает или компьютер выключен. Некоторые из этих функций требуют самого глубокого уровня руткита, второго несъемного шпионского компьютера, построенного вокруг основного компьютера. Sandy Bridge и будущие чипсеты имеют «возможность удаленно уничтожать и восстанавливать потерянные или украденные ПК через 3G».Аппаратные руткиты, встроенные вНабор микросхем может помочь восстановить украденные компьютеры, удалить данные или сделать их бесполезными, но они также представляют проблемы конфиденциальности и безопасности, связанные с необнаруживаемым шпионажем и перенаправлением со стороны руководства или хакеров, которые могут получить контроль.

Установка и маскировка [ править ]

Руткиты используют различные методы для получения контроля над системой; тип руткита влияет на выбор вектора атаки. Наиболее распространенный метод использует уязвимости системы безопасности для тайного повышения привилегий . Другой подход - использовать троянского коня , обманывая пользователя компьютера, заставляя его доверять программе установки руткита как безвредной - в этом случае социальная инженерия убеждает пользователя в полезности руткита. [27] Задача установки упрощается, если принцип наименьших привилегийне применяется, поскольку в этом случае руткит не должен явно запрашивать повышенные (уровень администратора) привилегии. Другие классы руткитов могут быть установлены только лицом, имеющим физический доступ к целевой системе. Некоторые руткиты также могут быть намеренно установлены владельцем системы или кем-либо, уполномоченным владельцем, например, с целью наблюдения за сотрудниками , что делает ненужными такие подрывные методы. [56] Некоторые вредоносные установки руткитов производятся на коммерческой основе с использованием метода компенсации с оплатой за установку (PPI), типичного для распространения. [57] [58]

После установки руткит принимает активные меры для сокрытия своего присутствия в хост-системе посредством подрывной деятельности или обхода стандартных инструментов безопасности операционной системы и интерфейса прикладного программирования (API), используемых для диагностики, сканирования и мониторинга. Руткиты достигают этого, изменяя поведение основных частей операционной системы путем загрузки кода в другие процессы, установки или модификации драйверов или модулей ядра . Методы запутывания включают в себя сокрытие запущенных процессов от механизмов мониторинга системы и сокрытие системных файлов и других данных конфигурации. [59] Руткит нередко отключает ведение журнала событий.емкость операционной системы, пытаясь скрыть свидетельство атаки. Теоретически руткиты могут помешать любой деятельности операционной системы. [60] «Совершенный руткит» можно рассматривать как « совершенное преступление »: преступление, о котором никто не подозревает. Руткиты также принимают ряд мер для защиты от обнаружения и «очистки» антивирусным программным обеспечением в дополнение к обычной установке в Ring 0 (режим ядра), где они имеют полный доступ к системе. К ним относятся полиморфизм (изменение так, что их «подпись» трудно обнаружить), методы скрытности, регенерация, отключение или отключение антивирусного программного обеспечения,[61] и не устанавливаются на виртуальные машины где исследователям будет проще их обнаружить и проанализировать.

Обнаружение [ править ]

Основная проблема с обнаружением руткитов заключается в том, что если операционная система была взломана, в частности, с помощью руткита на уровне ядра, нельзя доверять обнаружению несанкционированных модификаций самой себя или ее компонентов. [60] Таким действиям, как запрос списка запущенных процессов или списка файлов в каталоге, нельзя доверять, чтобы они вели себя должным образом. Другими словами, детекторы руткитов, которые работают в зараженных системах, эффективны только против руткитов, которые имеют какой-либо дефект в их маскировке или которые работают с более низкими привилегиями пользовательского режима, чем программа обнаружения в ядре. [27] Как и в случае с компьютерными вирусами , обнаружение и устранение руткитов - это постоянная борьба между обеими сторонами этого конфликта. [60]Обнаружение может использовать несколько различных подходов, включая поиск вирусных «сигнатур» (например, антивирусное программное обеспечение), проверку целостности (например, цифровые подписи ), обнаружение на основе различий (сравнение ожидаемых и фактических результатов) и поведенческое обнаружение (например, мониторинг Использование ЦП или сетевой трафик).

Для руткитов режима ядра обнаружение значительно сложнее, требуя тщательного изучения таблицы системных вызовов для поиска перехваченных функций, в которых вредоносное ПО может подрывать поведение системы, [62], а также криминалистического сканирования памяти на наличие шаблонов, указывающих на скрытые процессы. . Предложения по обнаружению руткитов Unix включают Zeppoo, [63] chkrootkit , rkhunter и OSSEC . Для Windows средства обнаружения включают Microsoft Sysinternals RootkitRevealer , [64] Avast Antivirus , [65] Sophos Anti-Rootkit, [66] F-Secure , [67]Radix, [68] GMER , [69] и WindowsSCOPE . Любые обнаружители руткитов, которые доказали свою эффективность, в конечном итоге способствуют их собственной неэффективности, поскольку авторы вредоносных программ адаптируют и тестируют свой код, чтобы избежать обнаружения хорошо используемыми инструментами. [Примечания 1] Обнаружение путем проверки хранилища, когда подозрительная операционная система не работает, может пропустить руткиты, не распознаваемые программой проверки, поскольку руткит не активен и подозрительное поведение подавляется; обычное антивирусное программное обеспечение, работающее с работающим руткитом, может выйти из строя, если руткит эффективно скрывается.

Альтернативный надежный носитель [ править ]

Лучший и самый надежный метод обнаружения руткитов на уровне операционной системы - выключить компьютер, подозреваемый в заражении, а затем проверить его хранилище , загрузившись с альтернативного надежного носителя (например, «аварийного» компакт-диска или USB-накопителя. ). [70] Этот метод эффективен, поскольку руткит не может активно скрывать свое присутствие, если он не запущен.

Поведенческие [ править ]

Поведенческий подход к обнаружению руткитов пытается сделать вывод о наличии руткита, ища поведение, подобное руткиту. Например, при профилировании системы различия во времени и частоте вызовов API или в общей загрузке ЦП можно отнести к руткиту. Этот метод сложен и ему мешает высокая частота ложных срабатываний . Неисправные руткиты иногда могут вносить очень очевидные изменения в систему: руткит Alureon приводил к сбою систем Windows после того, как обновление безопасности выявило конструктивный недостаток в его коде. [71] [72] Журналы из анализатора пакетов , брандмауэра или системы предотвращения вторжений.может свидетельствовать о поведении руткитов в сетевой среде. [24]

На основе подписи [ править ]

Антивирусные продукты редко выявляют все вирусы в ходе общедоступных тестов (в зависимости от того, что используется и в какой степени), даже несмотря на то, что поставщики программного обеспечения для обеспечения безопасности включают обнаружение руткитов в свои продукты. Если руткит попытается скрыться во время антивирусного сканирования, детектор невидимости может заметить; если руткит пытается временно выгрузить себя из системы, обнаружение сигнатуры (или «снятие отпечатков пальцев») все равно может его найти. Этот комбинированный подход вынуждает злоумышленников применять механизмы контратаки или «ретро» процедуры, которые пытаются завершить работу антивирусных программ. Методы обнаружения на основе сигнатур могут быть эффективны против хорошо опубликованных руткитов, но в меньшей степени против специально созданных руткитов с настраиваемым руткитом. [60]

На основе различий [ править ]

Другой метод, позволяющий обнаруживать руткиты, сравнивает «доверенные» необработанные данные с «испорченным» контентом, возвращаемым API . Например, двоичные файлы, присутствующие на диске, можно сравнить с их копиями в оперативной памяти (в некоторых операционных системах образ в памяти должен быть идентичен образу на диске), или результаты, возвращенные из файловой системы или API-интерфейсов реестра Windows, могут проверяться на соответствие необработанным структурам на базовых физических дисках [60] [73] - тем не менее, в случае первого, некоторые допустимые различия могут быть введены механизмами операционной системы, такими как перемещение памяти или шимминг. Руткит может обнаруживать наличие такого сканера на основе различий или виртуальной машины (последняя обычно используется для выполнения криминалистического анализа) и корректировать его поведение так, чтобы не было обнаружено никаких различий. Обнаружение разницы на основе использовались Russinovich «s RootkitRevealer инструментом , чтобы найти руткит Sony DRM. [1]

Проверка целостности [ править ]

RkHunter утилита использует SHA-1 хеши для проверки целостности системных файлов.

Подпись кода использует инфраструктуру открытого ключа, чтобы проверить, был ли файл изменен с момента подписания цифровой подписью его издателем. В качестве альтернативы владелец или администратор системы может использовать криптографическую хеш-функцию для вычисления «отпечатка пальца» во время установки, который может помочь обнаружить последующие несанкционированные изменения в библиотеках кода на диске. [74] Однако простые схемы проверяют только, был ли код изменен с момента установки; подрывная деятельность до этого времени не обнаруживается. Отпечаток пальца необходимо восстанавливать каждый раз при внесении изменений в систему: например, после установки обновлений безопасности или пакета обновления . Хеш-функция создает дайджест сообщения, относительно короткий код, вычисляемый из каждого бита в файле с использованием алгоритма, который создает большие изменения в дайджесте сообщения с еще меньшими изменениями в исходном файле. Регулярно пересчитывая и сравнивая дайджест сообщений установленных файлов с доверенным списком дайджестов сообщений, можно обнаруживать и отслеживать изменения в системе - при условии, что исходный базовый уровень был создан до добавления вредоносной программы.

Более сложные руткиты способны нарушить процесс проверки, представляя для проверки неизмененную копию файла или внося изменения в код только в памяти, регистрах реконфигурации, которые позже сравниваются с белым списком ожидаемых значений. [75] Код, который выполняет операции хеширования, сравнения или расширения, также должен быть защищен - в этом контексте понятие неизменяемого корня доверия гласит, что самый первый код для измерения свойств безопасности системы должен сам быть доверенным. чтобы гарантировать, что руткит или буткит не поставит под угрозу систему на самом фундаментальном уровне. [76]

Дампы памяти [ править ]

При принудительном создании полного дампа виртуальной памяти будет записан активный руткит (или дамп ядра в случае руткита режима ядра), что позволит провести офлайн- криминалистический анализ полученного файла дампа с помощью отладчика , при этом руткит не сможет принимать любые меры, чтобы скрыть себя. Этот метод является узкоспециализированным и может потребовать доступа к закрытому исходному коду или отладочным символам . Дамп памяти, инициированный операционной системой, не всегда может использоваться для обнаружения руткита на основе гипервизора, который способен перехватывать и подавлять попытки чтения памяти самого низкого уровня [5]- в этом сценарии может потребоваться аппаратное устройство, которое реализует немаскируемое прерывание . [77] [78] Виртуальные машины также упрощают анализ памяти скомпрометированной машины из нижележащего гипервизора, поэтому некоторые руткиты по этой причине избегают заражения виртуальных машин.

Удаление [ править ]

Ручное удаление руткитов часто бывает чрезвычайно трудным для обычного пользователя компьютера [25], но ряд поставщиков программного обеспечения безопасности предлагают инструменты для автоматического обнаружения и удаления некоторых руткитов, обычно как часть антивирусного пакета . Начиная с 2005 года , ежемесячное средство удаления вредоносных программ для Windows от Microsoft способно обнаруживать и удалять некоторые классы руткитов. [79] [80] Кроме того, автономный Защитник Windows может удалять руткиты, поскольку он запускается из доверенной среды до запуска операционной системы. Некоторые антивирусные сканеры могут обходить файловую системуAPI, уязвимые для манипуляций со стороны руткита. Вместо этого они напрямую обращаются к необработанным структурам файловой системы и используют эту информацию для проверки результатов системных API для выявления любых различий, которые могут быть вызваны руткитом. [Примечания 2] [81] [82] [83] [84] Есть эксперты, которые считают, что единственный надежный способ удалить их - это переустановить операционную систему с доверенного носителя. [85] [86]Это связано с тем, что инструменты удаления вирусов и вредоносных программ, запущенные в ненадежной системе, могут быть неэффективными против хорошо написанных руткитов режима ядра. Загрузка альтернативной операционной системы с доверенного носителя может позволить смонтировать зараженный системный том и потенциально безопасно очистить и скопировать важные данные или, в качестве альтернативы, провести судебно-медицинскую экспертизу. [24] Операционные системы облегченных , такие как Windows PE , консоль восстановления Windows , среда восстановления Windows , BartPE или Живых дистрибутивыможет использоваться для этой цели, позволяя «очистить» систему. Даже если тип и природа руткита известны, ручное восстановление может оказаться непрактичным, в то время как повторная установка операционной системы и приложений безопаснее, проще и быстрее. [85]

Защита [ править ]

Укрепление системы представляет собой один из первых уровней защиты от руткита, предотвращающий его установку. [87] Применение патчей безопасности , реализация принципа наименьших привилегий , уменьшение поверхности атаки и установка антивирусного программного обеспечения - вот некоторые стандартные передовые методы безопасности, которые эффективны против всех классов вредоносных программ. [88] Новые спецификации безопасной загрузки, такие как Unified Extensible Firmware Interface , были разработаны для устранения угрозы буткитов, но даже они уязвимы, если предлагаемые ими функции безопасности не используются. [49]Для серверных систем удаленная аттестация серверов с использованием таких технологий, как Intel Trusted Execution Technology (TXT), обеспечивает способ проверки того, что серверы остаются в заведомо исправном состоянии. Например, шифрование данных в состоянии покоя Microsoft Bitlocker проверяет, находятся ли серверы в заведомо «хорошем состоянии» при загрузке. PrivateCore vCage - это программное обеспечение, которое защищает используемые данные (память), чтобы избежать буткитов и руткитов, путем проверки того, что серверы находятся в заведомо «хорошем» состоянии при загрузке. Реализация PrivateCore работает совместно с Intel TXT и блокирует интерфейсы серверной системы, чтобы избежать потенциальных буткитов и руткитов.

См. Также [ править ]

  • Конференция по компьютерной безопасности
  • Система обнаружения вторжений на основе хоста
  • Атака "человек посередине"
  • Арсенал руткитов: побег и уклонение в темных углах системы

Заметки [ править ]

  1. ^ Имя процесса Sysinternals RootkitRevealer было целью вредоносного ПО; в попытке противостоять этой контрмере инструмент теперь использует случайно сгенерированное имя процесса.
  2. ^ Теоретически достаточно сложный руткит на уровне ядра может также нарушить операции чтения для необработанных структур данных файловой системы, чтобы они соответствовали результатам, возвращаемым API.

Ссылки [ править ]

  1. ^ a b c d e f g h «Руткиты, часть 1 из 3: растущая угроза» (PDF) . McAfee . 2006-04-17. Архивировано из оригинального (PDF) 23 августа 2006 года.
  2. ^ «Удаление руткитов из системы Windows» . 2011-10-25.
  3. ^ a b c d «Обзор руткитов Windows» (PDF) . Symantec . 2006-03-26. Архивировано из оригинального (PDF) 14 декабря 2010 года . Проверено 17 августа 2010 . Цитировать журнал требует |journal=( помощь )
  4. ^ Спаркс, Шерри; Батлер, Джейми (2005-08-01). «Повышение планки обнаружения руткитов Windows». Phrack . 0xb ( x3d ).
  5. ^ a b c d e Майерс, Майкл; Юндт, Стивен (2007-08-07). «Введение в руткиты виртуальных машин с аппаратной поддержкой (HVM)». Важнейшая безопасность. CiteSeerX : 10.1.1.90.8832 . Цитировать журнал требует |journal=( помощь )
  6. ^ Эндрю Хэй; Дэниел Сид; Рори Брэй (2008). OSSEC Руководство по обнаружению вторжений на основе хоста . Syngress. п. 276. ISBN. 978-1-59749-240-9.
  7. ^ Томпсон, Кен (август 1984). «Размышления о доверии» (PDF) . Коммуникации ACM . 27 (8): 761. DOI : 10,1145 / 358198,358210 .
  8. ^ a b Грег Хоглунд; Джеймс Батлер (2006). Руткиты: подрыв ядра Windows . Эддисон-Уэсли. п. 4. ISBN 978-0-321-29431-9.
  9. ^ Дай Зови, Dino (2009-07-26). Расширенные руткиты Mac OS X (PDF) . Blackhat . Системы эндшпиля . Проверено 23 ноября 2010 .
  10. ^ «Stuxnet представляет первый известный руткит для промышленных систем управления» . Symantec . 2010-08-06 . Проверено 4 декабря 2010 .
  11. ^ «Сведения о шпионском ПО: XCP.Sony.Rootkit» . Computer Associates . 2005-11-05. Архивировано из оригинала на 2010-08-18 . Проверено 19 августа 2010 .
  12. ^ Руссинович, Марк (2005-10-31). «Sony, руткиты и управление цифровыми правами зашли слишком далеко» . Блоги TechNet . Microsoft . Проверено 16 августа 2010 .
  13. ^ "Долговременные проблемы Sony с руткитами, связанными с компакт-дисками" . BBC News . 2005-11-21 . Проверено 15 сентября 2008 .
  14. Перейти ↑ Felton, Ed (2005-11-15). «Веб-деинсталлятор Sony открывает большую дыру в безопасности; Sony отозвала диски» .
  15. Перейти ↑ Knight, Will (11.11.2005). «Sony BMG подала в суд из-за программного обеспечения маскировки на музыкальном компакт-диске» . Новый ученый . Проверено 21 ноября 2010 .
  16. ^ Кириакиду, Dina (2 марта 2006). " Скандал " Греческий Уотергейт "вызывает политический шок" . Рейтер . Проверено 24 ноября 2007 .[ мертвая ссылка ]
  17. ^ a b Василис Превелакис; Диомидис Спинеллис (июль 2007 г.). «Афинский роман» .
  18. ^ Russinovich, Марк (июнь 2005). "Отрывая рут-комплекты" . Windows для ИТ-специалистов . Архивировано из оригинала на 2012-09-18 . Проверено 16 декабря 2010 .
  19. ^ «Хакеры World of Warcraft, использующие руткит Sony BMG» . Реестр . 2005-11-04 . Проверено 23 августа 2010 .
  20. Стив Ханна (сентябрь 2007 г.). «Использование технологии руткитов для обнаружения вредоносных программ на основе ловушек» (PDF) . Встреча CCEID. Цитировать журнал требует |journal=( помощь )
  21. ^ Russinovich, Марк (6 февраля 2006). «Использование руткитов для защиты от управления цифровыми правами» . Зима . SysInternals. Архивировано из оригинального 14 августа 2006 года . Проверено 13 августа 2006 .
  22. ^ а б Ортега, Альфредо; Сакко, Анибал (24 июля 2009 г.). Деактивировать руткит: атаки на технологии защиты от краж BIOS (PDF) . Black Hat USA 2009 (PDF). Бостон, Массачусетс: Основные технологии безопасности . Проверено 12 июня 2014 .
  23. ^ Kleissner, Питер (2009-09-02). «Stoned Bootkit: Рост популярности руткитов и буткитов MBR в дикой природе» (PDF) . Архивировано из оригинального (PDF) 16 июля 2011 года . Проверено 23 ноября 2010 . Цитировать журнал требует |journal=( помощь )
  24. ^ a b c Энсон, Стив; Бантинг, Стив (2007). Освоение Windows Network Forensics and Investigation . Джон Вили и сыновья. С. 73–74. ISBN 978-0-470-09762-5.
  25. ^ a b c d "Руткиты, часть 2: Технический учебник" (PDF) . McAfee . 2007-04-03. Архивировано из оригинального (PDF) 05 декабря 2008 года . Проверено 17 августа 2010 .
  26. ^ Kdm. «NTIllusion: портативный руткит Win32» . Phrack . 62 (12).
  27. ^ a b c d «Понимание технологий защиты от вредоносных программ» (PDF) . Microsoft . 21 февраля 2007 г. Архивировано из оригинального (PDF) 11 сентября 2010 года . Проверено 17 августа 2010 .
  28. ^ Хогланд, Грег (1999-09-09). "A * REAL * NT Rootkit, исправление ядра NT" . Phrack . 9 (55) . Проверено 21 ноября 2010 .
  29. Шевченко, Алиса (01.09.2008). «Руткит Эволюция» . Справка Net Security . Справка Net Security.
  30. ^ Чувакин, Антон (2003-02-02). Обзор руткитов Unix (PDF) (Отчет). Шантильи, Вирджиния: iDEFENSE. Архивировано из оригинального (PDF) 25 июля 2011 года . Проверено 21 ноября 2010 .
  31. ^ Батлер, Джеймс; Спаркс, Шерри (16 ноября 2005 г.). «Руткиты Windows 2005 года, часть вторая» . Symantec Connect . Symantec . Проверено 13 ноября 2010 .
  32. ^ Батлер, Джеймс; Спаркс, Шерри (2005-11-03). «Руткиты Windows 2005 года, часть первая» . Symantec Connect . Symantec . Проверено 12 ноября 2010 .
  33. ^ Бурдах, Мариуш (2004-11-17). «Обнаружение руткитов и взломов на уровне ядра в Linux» . Symantec . Проверено 23 ноября 2010 .
  34. Марко Джулиани (11 апреля 2011 г.). «ZeroAccess - расширенный руткит режима ядра» (PDF) . Программное обеспечение Webroot . Проверено 10 августа 2011 года . Цитировать журнал требует |journal=( помощь )
  35. ^ «Требования к подписи драйверов для Windows» . Microsoft . Проверено 6 июля 2008 .
  36. ^ Шнайер, Брюс (2009-10-23). « Атаки « Злой девы »на зашифрованные жесткие диски» . Проверено 7 ноября 2009 .
  37. ^ Содер, Дерек; Пермех, Райан (2007-05-09). "Загрузочный" . eEye Digital Security. Архивировано из оригинала на 2013-08-17 . Проверено 23 ноября 2010 .
  38. ^ Кумар, Нитин; Кумар, Випин (2007). Vbootkit: нарушение безопасности Windows Vista (PDF) . Black Hat Europe 2007 .
  39. ^ "ЗАГРУЗОЧНЫЙ КОМПЛЕКТ: Пользовательский загрузочный сектор на основе Windows 2000 / XP / 2003 Subversion" . NVlabs . 2007-02-04. Архивировано из оригинала на 10 июня 2010 года . Проверено 21 ноября 2010 .
  40. ^ Kleissner, Питер (2009-10-19). «Обкуренный буткит» . Питер Кляйсснер . Проверено 7 ноября 2009 .[ самостоятельно опубликованный источник ]
  41. ^ Гудин, Дэн (2010-11-16). «Самый продвинутый руткит в мире проникает в 64-битную Windows» . Реестр . Проверено 22 ноября 2010 .
  42. ^ Питер Кляйсснер, «Рост популярности руткитов и буткитов MBR в дикой природе», Случайный взлом (2009 г.) - текст, заархивированный 16 июля2011 г.на Wayback Machine ; слайды Архивировано 6 января 2014 г. в Wayback Machine.
  43. ^ Загрузчик Windows - программный информер. Это приложение-загрузчик, которым пользуются миллионы людей во всем мире.
  44. ^ Microsoft усиливает контроль за OEM-лицензированием Windows 8
  45. ^ Король, Сэмюэл Т .; Чен, Питер М .; Ван, И-Минь; Вербовски, Чад; Ван, Хелен Дж .; Лорч, Джейкоб Р. (2006-04-03). Машины международного бизнеса (ред.). SubVirt: реализация вредоносных программ с помощью виртуальных машин (PDF) . Симпозиум IEEE 2006 г. по безопасности и конфиденциальности . Институт инженеров по электротехнике и радиоэлектронике . DOI : 10,1109 / SP.2006.38 . ISBN  0-7695-2574-1. Проверено 15 сентября 2008 .
  46. ^ Ван, Чжи; Цзян, Сюйсянь; Цуй, Вэйдун; Нин, Пэн (11 августа 2009 г.). «Противодействие руткитам ядра с помощью облегченной защиты от хуков» (PDF) . В Аль-Шаер, Эхаб (Главный председатель) (ред.). Труды 16-й конференции ACM по компьютерной и коммуникационной безопасности . CCS 2009: 16-я конференция ACM по компьютерной и коммуникационной безопасности . Джа, Сомеш; Керомитис, Ангелос Д. (Руководители программы). Нью-Йорк: ACM Нью-Йорк. DOI : 10.1145 / 1653662.1653728 . ISBN  978-1-60558-894-0. Проверено 11 ноября 2009 .
  47. ^ «Device Guard - это комбинация управления приложениями в Защитнике Windows и защиты целостности кода на основе виртуализации (Windows 10)» .
  48. ^ Delugré, Гийом (2010-11-21). Восстановление прошивки Broacom NetExtreme (PDF) . hack.lu. Согети. Архивировано из оригинального (PDF) 25 апреля 2012 года . Проверено 25 ноября 2010 .
  49. ^ a b «Команда хакеров использует руткит UEFI BIOS для сохранения агента RCS 9 в целевых системах - блог TrendLabs Security Intelligence» . 2015-07-13.
  50. ^ Heasman, Джон (2006-01-25). Внедрение и обнаружение руткита ACPI BIOS (PDF) . Black Hat Federal 2006 . NGS Consulting . Проверено 21 ноября 2010 .
  51. ^ Хисман, Джон (2006-11-15). «Внедрение и обнаружение руткита PCI» (PDF) . Программное обеспечение безопасности нового поколения. CiteSeerX : 10.1.1.89.7305 . Проверено 13 ноября 2010 . Цитировать журнал требует |journal=( помощь )
  52. ^ Модин, Остин (2008-10-10). «Организованная преступность взламывает европейские устройства для считывания карт: данные клиентов пересылаются за границу» . Реестр . Публикация ситуации . Проверено 13 октября 2008 .
  53. ^ Сакко, Анибал; Ортега, Альфредо (2009). Постоянное заражение BIOS (PDF) . CanSecWest 2009 . Основные технологии безопасности . Проверено 21 ноября 2010 .
  54. ^ Гудин, Дэн (2009-03-24). «Новомодные руткиты выдерживают очистку жесткого диска» . Реестр . Публикация ситуации . Проверено 25 марта 2009 .
  55. ^ Сакко, Анибал; Ортега, Альфредо (01.06.2009). «Постоянное заражение BIOS: ранняя пташка ловит червя» . Phrack . 66 (7) . Проверено 13 ноября 2010 .
  56. ^ Рик Вилер (2007). Профессиональные руткиты . Джон Вили и сыновья. п. 244. ISBN 9780470149546.
  57. Матросов, Александр; Родионов, Евгений (25.06.2010). "TDL3: руткит всего зла?" (PDF) . Москва: ESET . п. 3. Архивировано из оригинального (PDF) 13 мая 2011 года . Проверено 17 августа 2010 .
  58. Матросов, Александр; Родионов, Евгений (27.06.2011). «Эволюция TDL: победа над x64» (PDF) . ESET . Архивировано 29 июля 2015 года из оригинального (PDF) . Проверено 8 августа 2011 .
  59. ^ Брамли, Дэвид (1999-11-16). «Невидимые злоумышленники: руткиты на практике» . USENIX . USENIX .
  60. ^ a b c d e Дэвис, Майкл А .; Бодмер, Шон; ЛеМастерс, Аарон (3 сентября 2009 г.). «Глава 10: Обнаружение руткитов» (PDF) . Взлом открытых вредоносных программ и руткитов: секреты и решения для защиты от вредоносных программ и руткитов . Нью-Йорк: McGraw Hill Professional. ISBN  978-0-07-159118-8.
  61. ^ Trlokom (2006-07-05). «Как победить руткиты и кейлоггеры» (PDF) . Трлоком. Архивировано из оригинального (PDF) 17 июля 2011 года . Проверено 17 августа 2010 . Цитировать журнал требует |journal=( помощь )
  62. ^ Дай Зови, Dino (2011). «Руткиты ядра» . Архивировано из оригинального 10 - го сентября 2012 года . Дата обращения 13 сентября 2012 . Цитировать журнал требует |journal=( помощь )
  63. ^ "Зеппу" . SourceForge . 18 июля 2009 . Проверено 8 августа 2011 года .
  64. ^ Когсуэлл, Брайс; Руссинович, Марк (01.11.2006). «RootkitRevealer v1.71» . Microsoft . Проверено 13 ноября 2010 .
  65. ^ «Руткит и Антируткит» . Проверено 13 сентября 2017 года .
  66. ^ "Sophos Anti-Rootkit" . Sophos . Проверено 8 августа 2011 года .
  67. ^ "BlackLight" . F-Secure . Проверено 8 августа 2011 года .
  68. ^ "Radix Anti-Rootkit" . usec.at . Проверено 8 августа 2011 года .
  69. ^ "GMER" . Проверено 8 августа 2011 года .
  70. ^ Гарриман, Джош (2007-10-19). «Методология тестирования эффективности удаления руткитов» (PDF) . Дублин, Ирландия: Symantec Security Response. Архивировано из оригинального (PDF) 07.10.2009 . Проверено 17 августа 2010 . Цитировать журнал требует |journal=( помощь )
  71. ^ Cuibotariu, Мирча (2010-02-12). «Тидсерв и МС10-015» . Symantec . Проверено 19 августа 2010 .
  72. ^ «Проблемы с перезапуском после установки MS10-015» . Microsoft . 2010-02-11 . Проверено 5 октября 2010 .
  73. ^ «Strider GhostBuster Rootkit Detection» . Microsoft Research. 2010-01-28. Архивировано из оригинала на 2012-07-29 . Проверено 14 августа 2010 .
  74. ^ «Подписание и проверка кода с помощью Authenticode» . Microsoft . Проверено 15 сентября 2008 .
  75. ^ «Остановка руткитов на границе сети» (PDF) . Бивертон, Орегон: Trusted Computing Group . Январь 2017 . Проверено 11 июля 2008 .
  76. ^ "Спецификация реализации TCG для ПК, версия 1.1" (PDF) . Группа доверенных вычислений . 2003-08-18 . Проверено 22 ноября 2010 .
  77. ^ «Как сгенерировать полный файл аварийного дампа или файл аварийного дампа ядра с помощью NMI в системе на базе Windows» . Microsoft . Проверено 13 ноября 2010 .
  78. ^ Сешадри, Арвинд; и другие. (2005). «Пионер: проверка целостности кода и обеспечение беспрепятственного выполнения кода в устаревших системах». Университет Карнеги-Меллона . Цитировать журнал требует |journal=( помощь )
  79. ^ Диллард, Курт (2005-08-03). «Битва руткитов: обнаружитель руткитов против защитника хакеров» .
  80. ^ «Средство удаления вредоносных программ для Microsoft Windows помогает удалять определенные распространенные вредоносные программы с компьютеров под управлением Windows 7, Windows Vista, Windows Server 2003, Windows Server 2008 или Windows XP» . Microsoft . 2010-09-14.
  81. ^ Hultquist, Стив (2007-04-30). «Руткиты: следующая большая корпоративная угроза?» . InfoWorld . Проверено 21 ноября 2010 .
  82. ^ "На страже безопасности: руткиты для развлечения и прибыли" . CNET Обзоры. 2007-01-19. Архивировано из оригинала на 2012-10-08 . Проверено 7 апреля 2009 .
  83. ^ Борт, Джули (2007-09-29). «Шесть способов борьбы с ботнетами» . PCWorld . Сан-Франциско: PCWorld Communications . Проверено 7 апреля 2009 .
  84. ^ Хоанг, Мими (2006-11-02). «Как справиться с серьезными угрозами безопасности сегодня: руткиты» . Symantec Connect . Symantec . Проверено 21 ноября 2010 .
  85. ^ a b Данселио, Майк; Бейли, Тони (2005-10-06). «Руткиты: неизвестная хакерская атака» . Microsoft.
  86. ^ Мессмер, Эллен (2006-08-26). «Мнения экспертов по обнаружению и удалению руткитов разделились» . NetworkWorld.com . Фрамингем, Массачусетс: IDG . Проверено 15 августа 2010 .
  87. ^ Скудис, Эд; Зельцер, Ленни (2004). Вредоносное ПО: борьба с вредоносным кодом . Prentice Hall PTR. п. 335. ISBN 978-0-13-101405-3.
  88. ^ Hannel, Jeromey (2003-01-23). «Linux RootKits для начинающих - от предотвращения до удаления» . Институт SANS . Архивировано из оригинального (PDF) 24 октября 2010 года . Проверено 22 ноября 2010 .

Дальнейшее чтение [ править ]

  • Бланден, Билл (2009). Арсенал руткитов: побег и уклонение в темных углах системы . Wordware. ISBN 978-1-59822-061-2.
  • Хоглунд, Грег; Батлер, Джеймс (2005). Руткиты: подрыв ядра Windows . Эддисон-Уэсли Профессионал. ISBN 978-0-321-29431-9.
  • Grampp, FT; Моррис, Роберт Х., старший (октябрь 1984 г.). «Система UNIX: Безопасность операционной системы UNIX». Технический журнал AT&T Bell Laboratories . 62 (8): 1649–1672. DOI : 10.1002 / j.1538-7305.1984.tb00058.x .
  • Конг, Джозеф (2007). Разработка руткитов BSD . Пресс без крахмала. ISBN 978-1-59327-142-8.
  • Вейлер, Рик (2007). Профессиональные руткиты . Wrox. ISBN 978-0-470-10154-4.

Внешние ссылки [ править ]

  • СМИ, связанные с руткитами, на Викискладе?