- 848 Просмотров
- Обсудить
Руткит‑технологии
Термин руткит (от англ. root kit – «набор для получения прав администратора») есть не что иное, как программа или набор программ для скрытого взятия под контроль взломанной системы.
В контексте сокрытия вирусного кода в системе Windows под rootkit принято подразумевать такой код, который, будучи внедренным в систему, способен перехватывать системные функции (Windows API). Нетрудно догадаться, что такой перехват и модификация API‑функций позволяют руткиту легко и просто замаскировать свое присутствие во взломанной системе.
Упрощенно все rootkit‑технологии сокрытия можно разделить на две категории:
♦ работающие в режиме пользователя (user‑mode);
♦ работающие в режиме ядра (kernel‑mode).
User‑mode‑категория руткитов основана на перехвате функций библиотек пользовательского режима, kernel‑mode – на установке в систему драйвера, осуществляющего перехват функций уровня ядра.
В настоящее время можно выделить следующие методы перехвата API‑функций в режиме пользователя (user mode):
♦ модификация таблицы импорта;
♦ модификация машинного кода прикладной программы;
♦ модификация программного кода API‑функции;
♦ перехват функций LoadLibrary и GetProcAddress.
Будь-те первым, поделитесь мнением с остальными.