Logo lit.sync-computers.com
Internetas

Kas yra „rootkit“?

Video: cHinKy "Wildfire" CSGO (Spalio mėn 2024)

Video: cHinKy "Wildfire" CSGO (Spalio mėn 2024)
Anonim

Šakniastiebiai gali būti įvardijami kaip moderniausia kenkėjiško kodo (kenkėjiškų programų) forma ir viena sunkiausiai aptinkamų bei šalinamų. Iš visų kenkėjiškų programų rūšių virusai ir kirminai tikriausiai sulaukia daugiausiai informacijos, nes jie dažniausiai yra paplitę. Yra žinoma, kad daugelį žmonių paveikė virusas ar kirminas, tačiau tai tikrai nereiškia, kad virusai ir kirminai yra labiausiai naikinančios kenkėjiškos programos. Yra ir pavojingesnių kenkėjiškų programų rūšių, nes paprastai jas veikia slaptu režimu, jas sunku aptikti ir pašalinti ir labai ilgą laiką gali likti nepastebėtos, tyliai gaudamos prieigą, vogdami duomenis ir modifikuodami failus aukos mašinoje. .


Tokio slapto priešo pavyzdys yra „rootkit“ - įrankių rinkinys, galintis pakeisti arba pakeisti vykdomąsias programas ar net patį operacinės sistemos branduolį, siekiant administratoriaus lygio prieigos prie sistemos, kurią galima naudoti diegiant šnipinėjimo programos, „keyloggers“ ir kiti kenksmingi įrankiai. Iš esmės, „rootkit“ leidžia užpuolikui pasiekti visišką prieigą prie aukos kompiuterio (ir galbūt prie viso tinklo, kuriam mašina priklauso). Vienas iš žinomų „rootkit“ naudojimo būdų, kuris padarė didelę žalą / žalą, buvo „Valve's Half-Life 2: Source“ žaidimo variklio šaltinio kodo vagystė.


Šakniastiebiai nėra kažkas naujo - jie gyvuoja daugelį metų ir yra žinomi kaip turintys įvairių operacinių sistemų (Windows, UNIX, Linux, Solaris ir kt.). Jei tai nebuvo vienas ar du masiniai „rootkit“ incidentai (žr. Skyrių „Įžymūs pavyzdžiai“), kurie atkreipė visuomenės dėmesį į juos, jie galbūt vėl išvengė sąmoningumo, išskyrus nedidelį saugumo specialistų ratą. Nuo šiol „rootkit“ neišnaudojo viso savo žalingo potencialo, nes nėra tokie paplitę kaip kitos kenkėjiškos programos. Tačiau tai gali suteikti mažai komforto.


„Rootkit“ mechanizmai veikia
Panašiai kaip Trojos arklius, virusus ir kirminus, rootkit'ai patys įsidiegia išnaudodami tinklo saugumo ir operacinės sistemos trūkumus, dažnai be vartotojo sąveikos. Nors yra šakninių rinkinių, kurie gali būti pateikiami kaip el. Pašto priedas arba pateikiami kartu su teisėtomis programinės įrangos programomis, jie yra nekenksmingi, kol vartotojas atidaro priedą arba neįdiegia programos. Tačiau skirtingai nuo mažiau sudėtingesnių kenkėjiškų programų formų, „rootkit“ labai giliai įsiskverbia į operacinę sistemą ir ypač stengiasi užmaskuoti jų buvimą - pavyzdžiui, modifikuodami sistemos failus.

Iš esmės yra dviejų tipų „rootkit“ rinkiniai: branduolio lygio rootkit ir taikymo lygio rootkit. Branduolio lygio šakniniai rinkiniai prideda kodą arba modifikuoja operacinės sistemos branduolį. Tai pasiekiama įdiegus įrenginio tvarkyklę arba pakraunamą modulį, kuris keičia sistemos skambučius, kad būtų paslėptas užpuolikas. Taigi, jei žiūrėsite į savo žurnalinius failus, sistemoje nematysite jokios įtartinos veiklos. Taikomosios programos šakniniai rinkiniai yra ne tokie sudėtingi ir paprastai lengviau aptinkami, nes jie modifikuoja programų vykdomuosius failus, o ne pačią operacinę sistemą. Kadangi „Windows 2000“ vartotojui praneša apie kiekvieną vykdomojo failo pakeitimą, užpuolikui tampa sunkiau nepastebėti.


Kodėl pagrindiniai rinkiniai kelia pavojų
Šakniastiebiai gali veikti kaip užpakaliniai durys ir paprastai nėra vieni vieni savo misijos - juos dažnai lydi šnipinėjimo programos, Trojos arklys ar virusai. Šaknies rinkinio tikslai gali skirtis nuo paprasto kenksmingo džiaugsmo įsiskverbiant į kažkieno kompiuterį (ir paslėpus svetimo buvimo pėdsakus), iki visos sistemos sukūrimo, kad būtų galima neteisėtai gauti konfidencialius duomenis (kreditinių kortelių numerius ar šaltinio kodus, kaip pusė atvejo). -Gyvenimas 2).

Paprastai programų lygio šakniniai rinkiniai yra mažiau pavojingi ir juos lengviau aptikti. Bet jei programa, kurią naudojate savo finansams sekti, „pataisoma“ pagrindiniame rinkinyje, piniginiai nuostoliai gali būti dideli - ty, užpuolikas gali naudoti jūsų kreditinės kortelės duomenis, kad nusipirktų porą elementų, o jei „ Jei laiku nepastebėsite įtartinos veiklos savo kredito kortelės balanse, greičiausiai niekada nebematysite pinigų.


Palyginti su branduolio lygio „rootkit“, programos lygio „rootkit“ atrodo mieli ir nekenksmingi. Kodėl? Kadangi teoriškai branduolio lygio rootkit atveria visas duris sistemai. Kai durys bus atidarytos, į sistemą gali įslysti kitos formos kenkėjiškos programos. Branduolio lygio „rootkit“ infekcija ir nesugebėjimas lengvai jos aptikti ir pašalinti (arba visai, kaip matysime toliau) reiškia, kad kažkas kitas gali visiškai valdyti jūsų kompiuterį ir gali jį naudoti bet kokiu jam patinkančiu būdu - pavyzdžiui, inicijuoti išpuolį prieš kitus kompiuterius, susidarant įspūdiui, kad išpuolis kilo iš jūsų kompiuterio, o ne iš kažkur.


Šaknies rinkinių aptikimas ir pašalinimas
Ne tai, kad kitus kenkėjiškų programų tipus lengva aptikti ir pašalinti, tačiau branduolio lygio rootkit yra tam tikra nelaimė. Tam tikra prasme tai yra „Catch 22“ - jei turite rootkit, tada greičiausiai bus modifikuoti sistemos failai, reikalingi anti-rootkit programinei įrangai, todėl patikrinimo rezultatais negalima pasitikėti. Dar daugiau, jei veikia „rootkit“, jis gali sėkmingai modifikuoti failų sąrašą arba vykdomų procesų, kuriais remiasi antivirusinės programos, sąrašą, taip pateikdamas suklastotus duomenis. Be to, paleistas šakninis rinkinys gali tiesiog iškrauti antivirusinių programų procesus iš atminties, todėl programa gali būti išjungta arba netikėtai nutraukta. Tačiau tai darant netiesiogiai parodomas buvimas, todėl gali kilti įtarimų, kai kažkas negerai, ypač naudojant programinę įrangą, palaikančią sistemos saugumą.

Rekomenduojamas būdas aptikti šaknies rinkinį yra įkelti iš alternatyvios laikmenos, kuri, kaip žinoma, yra švari (ty atsarginę kopiją, arba gelbėjimo kompaktinį diską), ir patikrinti įtartiną sistemą. Šio metodo pranašumas yra tas, kad šakninis paketas nebus paleistas (todėl jis negalės savęs paslėpti), o sistemos failai nebus aktyviai klastojami.


Yra būdų aptikti ir (bandyti) pašalinti rootkit rinkinius. Vienas iš būdų yra turėti švarius originalių sistemos failų MD5 pirštų atspaudus, kad būtų galima palyginti dabartinių sistemos failų pirštų atspaudus. Šis metodas nėra labai patikimas, tačiau yra geriau nei nieko. Branduolio derinimo priemonės naudojimas yra patikimesnis, tačiau tam reikia gilių žinių apie operacinę sistemą. Net dauguma sistemos administratorių retai tuo pasinaudos, ypač kai yra nemokamų gerų programų rootkit aptikimui, pavyzdžiui, Marco Russinovičiaus „RootkitRevealer“. Jei einate į jo svetainę, rasite išsamias instrukcijas, kaip naudotis programa.


Jei aptikote rootkit kompiuteryje, kitas žingsnis yra atsikratyti jo (lengviau pasakyti, nei padaryti). Kai kuriuos „rootkit“ rinkinius pašalinti negalima, nebent norite pašalinti ir visą operacinę sistemą! Akivaizdžiausias sprendimas - ištrinti užkrėstus failus (su sąlyga, kad jūs žinote, kurie iš jų yra lengvai paslėpti) yra visiškai netaikomas, kai kalbama apie gyvybiškai svarbius sistemos failus. Jei ištrinsite šiuos failus, gali būti, kad niekada nebegalėsite paleisti „Windows“. Galite išbandyti kelias „rootkit“ pašalinimo programas, pvz., „UnHackMe“ ar „F-Secure BlackLight Beta“, tačiau per daug jų nesitikėkite, kad galėtumėte saugiai pašalinti kenkėją.

Tai gali atrodyti kaip šoko terapija, tačiau vienintelis įrodytas būdas pašalinti rootkit yra suformatuoti standųjį diską ir iš naujo įdiegti operacinę sistemą (žinoma, iš švarios diegimo laikmenos!). Jei turite informacijos, iš kur gavote „rootkit“ (ar ji buvo įtraukta į kitą programą, ar kas nors ją jums atsiuntė el. Paštu?), Net negalvokite apie tai, kad paleisite ar vėl atsirinksite infekcijos šaltinį!


Garsūs šaknų rinkinių pavyzdžiai
Šakniastiebiai buvo slaptai naudojami daugelį metų, tačiau tik iki praėjusių metų, kai jie pasirodė naujienų antraštėse. „Sony-BMG“ atvejis su jų skaitmeninių teisių valdymo (DRM) technologijomis, kurios apsaugojo neteisėtą kompaktinių diskų kopijavimą įdiegiant „rootkit“ į vartotojo kompiuterį, sukėlė aštrią kritiką. Buvo ieškiniai ir baudžiamasis tyrimas. Remiantis bylos sprendimu, „Sony-BMG“ turėjo išimti iš kompaktinių diskų kompaktinius diskus ir pakeisti įsigytas kopijas švariomis. „Sony-BMG“ buvo apkaltintas slaptu sistemos failų slėpimu, bandant paslėpti egzistuojančią apsaugos nuo kopijavimo programą, kuri taip pat naudojo asmeninius duomenis į „Sony“ svetainę. Jei vartotojas pašalino programą, kompaktinių diskų įrenginys neveikė. Iš tikrųjų ši autorių teisių apsaugos programa pažeidė visas teises į privatumą, naudojo nelegalią techniką, būdingą tokio tipo kenkėjiškoms programoms, ir, svarbiausia, aukos kompiuterį paliko pažeidžiamą įvairių išpuolių. Didelėms korporacijoms, tokioms kaip „Sony-BMG“, buvo būdinga pirmiausia eiti arogantišku keliu teigiant, kad jei dauguma žmonių nežinotų, kas yra „rootkit“, ir kodėl jiems būtų svarbu, kad jie juos turėtų. Na, jei nebūtų buvę tokių vaikinų, kaip Markas Roussinovičius, kuris pirmasis paskambino varpeliu apie „Sony“ rootkit, triukas galėjo pasiteisinti ir milijonai kompiuterių būtų buvę užkrėsti - gana globalus nusikaltimas tariamai ginant bendrovės intelektualą. nuosavybė!

Panašus į „Sony“ atvejį, tačiau kai nebuvo būtina prisijungti prie interneto, tai yra „Norton SystemWorks“ atvejis. Tiesa, kad abiejų atvejų negalima palyginti etiniu ar techniniu požiūriu, nes nors Norton „rootkit“ (arba į „rootkit“ panaši technologija) modifikuoja „Windows“ sistemos failus, kad tilptų „Norton Protected Recycle Bin“, Norton vargu ar gali būti apkaltintas piktavališkais ketinimais apriboti. vartotojo teises arba naudotis „rootkit“, kaip tai daroma „Sony“. Maskavimo tikslas buvo paslėpti nuo visų (vartotojų, administratorių ir pan.) Ir visko (kitos programos, pati „Windows“) failų, kurių vartotojai buvo ištrinti, atsarginį katalogą, kurį vėliau bus galima atkurti iš šio atsarginių kopijų katalogo. Apsaugotos šiukšliadėžės funkcija buvo pridėti dar vieną saugos tinklą prie greitų pirštų, kurie pirmiausia ištrinami, ir tada pagalvoti, ar jie ištrynė teisingą (-us) failą (-us), pateikdamas papildomą būdą atkurti failus, kurie buvo ištrinti iš šiukšlinės ( arba kurios aplenkė šiukšlinę).

Šie du pavyzdžiai vargu ar yra patys sunkiausi „rootkit“ veiklos atvejai, tačiau juos verta paminėti, nes, atkreipiant dėmesį į šiuos konkrečius atvejus, buvo atkreiptas visuomenės dėmesys į visą „rootkit“. Tikimės, kad dabar daugiau žmonių ne tik žino, kas yra „rootkit“, bet ir rūpinasi, jei tokį turi, ir galės juos aptikti bei pašalinti!

Kas yra „rootkit“?

Pasirinkta redaktorius

Kaip patikrinti, ar „Mac“ kompiuteryje nėra „Rootkit“.

Jei jūsų „Mac“ elgiasi keistai ir įtariate rootkit, turėsite pradėti atsisiųsti ir nuskaityti naudodami kelis skirtingus įrankius. Verta paminėti, kad gali būti įdiegtas rootkit ir net to nežinote

Kaip padaryti, kad Safari&8217; privačios naršymo funkcija iš tikrųjų būtų privati

Kai tik atidarote žiniatinklio naršyklę, visa jūsų veikla internete gali būti (ir yra) sekama. Svetainės, kuriose lankotės, ką perkate internetu, ir paslaugos, prie kurių prisijungiate

Kaip konvertuoti MP3 arba M4A failą į iPhone skambėjimo toną

Taigi, kas yra iPhone skambėjimo tonas. Tiesą sakant, tai tiesiog įprastas „iTunes“.

8 naudingi OS X spartieji klavišai

„Apple“ yra puikus pasirinkimas vartotojams, kurie nori būti produktyvesni ir efektyvesni, ir dėl geros priežasties. Galų gale, „macOS“ yra aprūpinta daugybe sparčiųjų klavišų, kurie palengvina darbą

„Mac“ spartieji klavišai, skirti, kai „Mac“ užšąla

Kadangi „Mac“ yra vieni iš patikimiausių kompiuterių, nedaugelis vartotojų patiria tą jausmą, kurį patiriate, kai ekrane matote besisukantį mirties ratą. Tačiau kai taip nutinka ir kompiuteris užšąla, gerai, jei turite galimybę naudoti tinkamą spartųjį klavišą, kad išspręstumėte problemą.

Pradėkite naudotis Subversion naudodami SvnX

Jei esate kūrėjas, versijų valdymo programinė įranga leidžia stebėti kodo pakeitimus. Tai būtina projektams, kuriuose dirbate kaip komandos dalis, todėl galite stebėti pokyčius jiems vykstant