تا %60 درصد تخفیف برای تنها 6 نفر با کد G914UG2S + صدور گواهینامه فقط تا
000000

روتکیت چیست؟ معرفی Rootkit به زبان بسیار ساده

روتیک یا Rootkit از جمله بدافزارهایی محسوب می شود که با هدف اصلی مخفی ماندن در سیستم قربانی به دنیا معرفی شده است . هدف اصلی Rootkit ها مخفی کردن یک سری چیزها از دید کاربر و همچنین از دید نرم افزارهای امنیتی است تا هکر یا مهاجم بتواند در فرصت مناسب به اهدافش سریعتر دسترسی پیدا کند. بگذارید با یک مثال برای شما موضوع را بیشتر باز کنیم . فرض کنید که یک هکر به سیستم قربانی نفوذ کرده است و در آن بدافزارهایی را برای دسترسی بعدی به سیستم قربانی تعبیه کرده است ، حال اگر نرم افزار امنیتی بر روی سیستم قربانی نصب شده و شروع به اسکن کند ممکن است این بدافزارها شناسایی شوند .

ساده ترین راه شناسایی این بدافزارها نگاه کردن به تعداد و نام Process های سیستم یا نگاه کردن Connection های ورودی و خروجی از شبکه سیستم قربانی یا کلیدهای رجیستری است که مشکوک به آلوده شدن هستند.خوب همینجا اگر شما بدافزاری داشته باشید که بتواند پردازش های خاصی را در سیستم مخفی کند ، برخی از Connection های شبکه را نمایش ندهد و مخفی کند یا کلیدهای رجیستری را نیز مخفی کند ، این دقیقا همان Rootkit است که وظیفه مخفی کردن فعالیت های یک مهاجم را برای حفظ دسترسی های بعدی به سیستم بر عهده دارد.

Rootkit چیست

روتکیت ها معمولا در سطح کرنل سیستم عامل و پایینترین ( بالاترین دسترسی به سیستم عامل ) لایه هسته سیستم عامل کار می کنند تا بتوانند نهایت مخفی کاری را انجام بدهند. بیشتر Rootkit ها امروزه در سطح درایورهای سخت افزاری ( حتی به عنوان یک درایور سخت افزاری ) در سیستم قربانی نصب می شوند و در اصطلاح Kernel-Modules یا ماژول های درایورهای سیستم را آلوده می کنند . برخی از انواع Rootkit ها می توانند حتی Call ها یا فراخوانی های سیستم عامل را تحت تاثیر قرار بدهند و کنترل دستورات سیستم عامل را در دست بگیرند که معمولا بدافزارها چنین کاری را انجام نمی دهند.

روتکیت چیست

Rootkit ها معمولا خودشان را درون حافظه های کارت های گرافیک یا حتی کارت های PCI سیستم قرار می دهند و براحتی از دست آنتی ویروس هایی که به روز نیستند در امان می مانند. Rootkit ها انواع و اقسام متنوعی دارند و می توانند در سطح Firmware ها ، در سطح Boot Loader های سیستم عامل ( Bootkit ) ، در سطح Hypervisor ها در مجازی سازی ، در سطح Application ها ، در سطح حافظه یا Memory و ... در سیستم قربانی فعالیت کرده و مخفی بمانند. اساسا Rootkit را می توان جزو خطرناک ترین نوع بدافزارها دانست و شناسایی کردن آنها معمولا فقط به روش های پیشگیرانه امکانپذیر است زیرا این نوع بدافزار بصورت مستقیم فایلهای اصلی سیستم عامل را تغییر داده و برای خودش دلخواه سازی می کند و تنها راه اصلی جلوگیری از این آلودگی استفاده از مکانیزمی به نام SIV است .

نویسنده : محمد نصیری

منبع : جزیره امنیت اطلاعات و ارتباطات وب سایت توسینسو

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی است

0 نظر

هیچ نظری ارسال نشده است! اولین نظر برای این مطلب را شما ارسال کنید...

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر