Руткит‑технологии

Руткит‑технологии

Термин руткит (от англ. root kit – «набор для получения прав администратора») есть не что иное, как программа или набор программ для скрытого взятия под контроль взломанной системы.

В контексте сокрытия вирусного кода в системе Windows под rootkit принято подразумевать такой код, который, будучи внедренным в систему, способен перехватывать системные функции (Windows API). Нетрудно догадаться, что такой перехват и модификация API‑функций позволяют руткиту легко и просто замаскировать свое присутствие во взломанной системе.

Упрощенно все rootkit‑технологии сокрытия можно разделить на две категории:

♦ работающие в режиме пользователя (user‑mode);

♦ работающие в режиме ядра (kernel‑mode).

User‑mode‑категория руткитов основана на перехвате функций библиотек пользовательского режима, kernel‑mode – на установке в систему драйвера, осуществляющего перехват функций уровня ядра.

В настоящее время можно выделить следующие методы перехвата API‑функций в режиме пользователя (user mode):

♦ модификация таблицы импорта;

♦ модификация машинного кода прикладной программы;

♦ модификация программного кода API‑функции;

♦ перехват функций LoadLibrary и GetProcAddress.