Ein rootkit ist ein verstohlener Typ der böswilligen Software (malware) hat vorgehabt, die Existenz von bestimmten Prozessen oder Programmen von normalen Methoden der Entdeckung zu verbergen und fortgesetzten privilegierten Zugang zu einem Computer zu ermöglichen. Der Begriff rootkit ist eine Verkettung "der Wurzel" (der traditionelle Name der privilegierten Rechnung auf Unix Betriebssysteme) und das Wort "Bastelsatz" (der sich auf die Softwarebestandteile bezieht, die das Werkzeug durchführen). Der Begriff "rootkit" hat negative Konnotationen durch seine Vereinigung mit malware.

Installation von Rootkit kann automatisiert werden, oder ein Angreifer kann sie installieren, sobald sie Wurzel oder Verwalter-Zugang erhalten haben. Das Erreichen dieses Zugangs ist irgendein ein Ergebnis des direkten Angriffs auf ein System (d. h. Ausnutzung einer bekannten Verwundbarkeit, Kennwort (entweder durch das Knacken, Vorzug-Eskalation oder soziale Technik). Einmal installiert wird es möglich, das Eindringen zu verbergen sowie privilegierten Zugang aufrechtzuerhalten. Wie jede Software können sie einen guten Zweck oder einen böswilligen Zweck haben. Der Schlüssel ist der Zugang der Wurzel/Verwalters. Die volle Kontrolle über ein System bedeutet, dass vorhandene Software einschließlich der Software modifiziert werden kann, die sonst verwendet werden könnte, um es zu entdecken oder zu überlisten.

Entdeckung von Rootkit ist schwierig, weil ein rootkit im Stande sein kann, die Software zu stürzen, die beabsichtigt ist, um es zu finden. Entdeckungsmethoden schließen das Verwenden einer Alternative ein, hat Betriebssystem vertraut; Verhaltensmethoden; Unterschrift-Abtastung; Unterschied-Abtastung; und Gedächtnis lädt Analyse ab. Eliminierung kann kompliziert oder besonders in Fällen praktisch unmöglich werden, wo der rootkit im Kern wohnt; die Neuinstallation des Betriebssystems kann die einzige verfügbare Lösung des Problems sein. Wenn, sich firmware rootkits befassend, Eliminierung Hardware-Ersatz oder spezialisierte Ausrüstung verlangen kann.

Geschichte

Das erste dokumentierte Computervirus, um die PC-Plattform, entdeckt 1986 ins Visier zu nehmen, hat das Bemänteln von Techniken verwendet, um sich zu verbergen: Das Gehirnvirus hat Versuche abgefangen, den Stiefelsektor zu lesen, und hat diese zu anderswohin auf der Platte umadressiert, wo eine Kopie des ursprünglichen Stiefelsektors behalten wurde.

Mit der Zeit sind Bemänteln-Methoden des DOS-VIRUS hoch entwickelter, mit fortgeschrittenen Techniken einschließlich des Anspannens der auf niedriger Stufe INTERNEN Platten-NUMMER 13. BIOS-Unterbrechungsanrufe geworden, unerlaubte Modifizierungen zu Dateien zu verbergen.

Der Begriff rootkit oder Wurzelbastelsatz, der ursprünglich auf einen böswillig modifizierten Satz von Verwaltungswerkzeugen für ein Unix ähnliches Betriebssystem verwiesen ist, das "Wurzel"-Zugang gewährt hat. Wenn ein Einbrecher die Standardverwaltungswerkzeuge auf einem System mit einem rootkit ersetzen konnte, konnte der Einbrecher Wurzelzugang über das System erhalten, während er gleichzeitig diese Tätigkeiten vor dem legitimen Systemverwalter verborgen hat. Diese zuerst war Generation rootkits trivial, um zu entdecken, indem sie Werkzeuge wie Stolperdraht verwendet hat, der nicht in Verlegenheit gebracht worden war, um auf dieselbe Information zuzugreifen. Lane Davis und Steven Dake haben den frühsten bekannten rootkit 1990 für Sonne-Mikrosysteme SunOS UNIX Betriebssystem geschrieben. Ken Thompson von Glockenlaboratorien, einer der Schöpfer von Unix, hat den C Bearbeiter in einem Vertrieb von Unix gestürzt und hat die Großtat im Vortrag besprochen, den er nach dem Empfang des Preises von Turing 1983 gegeben hat. Der modifizierte Bearbeiter würde Versuche entdecken, den "Anmeldungs"-Befehl von Unix zu kompilieren und veränderten Code zu erzeugen, der nicht nur das richtige Kennwort des Benutzers, aber ein zusätzliches dem Angreifer bekanntes Kennwort akzeptieren würde. Zusätzlich würde der Bearbeiter Versuche entdecken, eine neue Version des Bearbeiters zu kompilieren, und würde dieselben Großtaten in den neuen Bearbeiter einfügen. Eine Rezension des Quellcodes für den "Anmeldungs"-Befehl oder den aktualisierten Bearbeiter würde keinen böswilligen Code offenbaren.

Diese Großtat war zu einem rootkit gleichwertig.

Der erste böswillige rootkit für Windows NT Betriebssystem ist 1999 erschienen: Ein trojanischer hat NTRootkit geschaffen von Greg Hoglund genannt. Ihm wurde von HackerDefender 2003 gefolgt. Das erste Rootkit-Zielen von Mac OS X ist 2009 erschienen, während der Wurm von Stuxnet erst war, um programmierbare Logikkontrolleure (PLC) ins Visier zu nehmen.

Sony BMG kopiert Schutz rootkit Skandal

2005 hat Sony BMG CDs mit dem Kopie-Schutz und der Digitalrecht-Verwaltungssoftware genannt der Verlängerte Kopie-Schutz veröffentlicht, der von der Softwaregesellschaft Zuerst 4 Internet geschaffen ist. Die Software hat einen Musik-Spieler eingeschlossen, aber hat still einen rootkit installiert, der die Fähigkeit des Benutzers beschränkt hat, auf die CD zuzugreifen.

Softwareingenieur Mark Russinovich, der das rootkit Entdeckungswerkzeug RootkitRevealer geschaffen hat, hat den rootkit auf einem seiner Computer entdeckt. Der folgende Skandal hat das Bewusstsein des Publikums von rootkits erhoben.

Um sich zu bemänteln, hat der rootkit vor dem Benutzer jede Datei verborgen, die mit "dem $sys$" anfängt. Bald nach dem Bericht von Russinovich ist malware erschienen, der diese Verwundbarkeit von betroffenen Systemen ausgenutzt hat.

Ein BBC-Analytiker hat es einen "Werbealbtraum genannt." Sony BMG hat Flecke veröffentlicht, um den rootkit zu deinstallieren, aber es hat Benutzer zu einer noch ernsteren Verwundbarkeit ausgestellt. Die Gesellschaft hat schließlich die CDs zurückgerufen. In den Vereinigten Staaten wurde eine Klassenhandlungsrechtssache gegen Sony BMG gebracht.

Griechischer Abhören-Fall 2004-05

Der griechische Abhören-Fall 2004-05, auch gekennzeichnet als griechischer Watergate, hat das ungesetzliche Klopfen von mehr als 100 Mobiltelefonen im Vodafone Netz von Griechenland eingeschlossen, das größtenteils Mitgliedern der griechischen Regierungsstaatsbeamten von hohem Stellenwert gehört. Die Klapse haben einmal in der Nähe vom Anfang des Augusts 2004 begonnen und wurden im März 2005 entfernt, ohne die Identität der Täter zu entdecken.

Um das Abhören auszuführen, haben die Einbrecher einen rootkit installiert, der die AXT-Telefonvermittlung von Ericsson ins Visier genommen hat. Gemäß dem IEEE Spektrum war das "das erste Mal, als ein rootkit auf einem System des speziellen Zwecks, in diesem Fall ein Telefonschalter von Ericsson beobachtet worden ist." Der rootkit wurde entworfen, um das Gedächtnis des Austausches zu flicken, während es lief, ermöglichen Sie abzuhören, während Sie Bilanzklotz unbrauchbar machen, flicken Sie die Befehle, die aktive Prozesse und aktive Datenblöcke verzeichnen, und den Datenblock-Kontrollsumme-Überprüfungsbefehl modifizieren. Eine Hintertür hat einem Maschinenbediener mit dem sysadmin Status erlaubt, den Transaktionsklotz und Warnungen des Austausches und mit der Kontrolle-Fähigkeit verbundene Zugriffsbefehle auszuschalten. Der rootkit wurde entdeckt, nachdem die Einbrecher eine fehlerhafte Aktualisierung installiert haben, die SMS-Texte veranlasst hat, nicht ausgeliefert zu sein, zu einem automatisierten Misserfolg-Bericht führend, der wird erzeugt. Ingenieure von Ericsson wurden herbeigerufen, um die Schuld zu untersuchen, und an diesem Punkt hat die verborgenen Datenblöcke entdeckt, die die Liste von Telefonnummern enthalten, die, zusammen mit dem rootkit und der illegalen Mithörsoftware kontrollieren werden, die installiert worden war.

Gebrauch

Moderne rootkits erheben Zugang nicht, aber werden eher verwendet, um eine andere Softwarenutzlast unfeststellbar durch das Hinzufügen von Heimlichkeitsfähigkeiten zu machen. Die meisten rootkits werden als malware klassifiziert, weil die Nutzlasten, mit denen sie gestopft werden, böswillig sind. Zum Beispiel könnte eine Nutzlast Benutzerkennwörter, Kreditkarteninformation, Rechenmittel versteckt stehlen, oder andere unerlaubte Tätigkeiten führen. Eine kleine Zahl von rootkits kann als Dienstprogramm-Anwendungen von ihren Benutzern betrachtet werden: Zum Beispiel könnte ein rootkit einen Fahrer des CD-ROM-Wetteifers bemänteln, Videospiel-Benutzern erlaubend, Maßnahmen der antiillegalen Vervielfältigung zu vereiteln, die verlangen, dass Einfügung der ursprünglichen Installationsmedien in einen physischen optischen Laufwerk nachprüft, dass die Software legitim gekauft wurde.

Rootkits und ihre Nutzlasten haben vielen Nutzen:

• Versorgen Sie einen Angreifer mit dem vollen Zugang über eine Hintertür, erlaubend, dass unerlaubter Zugang dazu zum Beispiel stiehlt oder Dokumente fälscht. Eine der Weisen, das auszuführen, ist, den Anmeldungsmechanismus, wie das/bin/login Programm auf Unix ähnlichen Systemen oder GINA auf Windows zu stürzen. Der Ersatz scheint, normalerweise zu fungieren, sondern auch akzeptiert eine heimliche Anmeldungskombination, die einem Angreifer direkten Zugang zum System mit Verwaltungsvorzügen erlaubt, Standardbeglaubigung und Genehmigungsmechanismen umgehend.
• Verbergen Sie anderen malware, namentlich Kennwort stehlende Schlüsselholzfäller und Computerviren.
• Verwenden Sie die in Verlegenheit gebrachte Maschine als ein Zombie-Computer für Angriffe auf andere Computer. (Der Angriff entsteht aus dem in Verlegenheit gebrachten System oder Netz statt des Systems des Angreifers.) sind "Zombie"-Computer normalerweise Mitglieder von großem botnets, der Offensiven der Leugnung des Dienstes ergreifen und E-Mail spam verteilen kann.
• Erzwingung des Digitalrecht-Managements (DRM).

In einigen Beispielen stellen rootkits vorteilhafte Funktionalität zur Verfügung, und können absichtlich vom Computereigentümer installiert werden:

• Verbergen Sie Betrug in Online-Spielen von der Software wie Direktor.
• Entdecken Sie Angriffe zum Beispiel in einem honeypot.
• Erhöhen Sie Wetteifer-Software und Sicherheitssoftware. Alkohol 120 % und Dämon-Werkzeuge sind kommerzielle Beispiele von nichtfeindlichem rootkits, hat gepflegt, Kopierschutz-Mechanismen wie SafeDisc und SecuROM zu vereiteln. Antivirus-Software von Kaspersky verwendet auch Techniken, die rootkits ähneln, um sich von böswilligen Handlungen zu schützen. Es lädt seine eigenen Treiber, um Systemtätigkeit abzufangen, und hält dann andere Prozesse davon ab, Schaden zu sich zuzufügen. Seine Prozesse werden nicht verborgen, aber können durch Standardmethoden nicht begrenzt werden (Es kann mit dem Prozess-Hacker begrenzt werden).
• Antidiebstahlschutz: Laptops können rootkit Software BIOS-basiert haben, die einer Hauptautorität regelmäßig berichten wird, dem Laptop erlaubend, kontrolliert, arbeitsunfähig zu werden oder der Information gewischt, falls es gestohlen wird.
• Das Umleiten der Produktaktivierung von Microsoft

Typen

Es gibt mindestens fünf Typen von rootkit, im Intervall von denjenigen am Tiefststand in firmware (mit den höchsten Vorzügen) durch zu den am wenigsten privilegierten benutzerbasierten Varianten, die im Ring 3 funktionieren. Hybride Kombinationen von diesen können vorkommen, zum Beispiel, Benutzerweise und Kernweise abmessend.

Benutzerweise

Benutzerweise rootkits geführt im Ring 3, zusammen mit anderen Anwendungen als Benutzer, aber nicht auf niedriger Stufe Systemprozesse. Sie haben mehrere mögliche Installationsvektoren, um das Standardverhalten der Anwendung abzufangen und zu modifizieren, Schnittstellen (APIs) programmierend. Einige spritzen eine dynamisch verbundene Bibliothek (wie eine.DLL Datei auf Windows oder eine.dylib Datei auf Mac OS X) in andere Prozesse ein, und sind dadurch im Stande, innerhalb jedes Zielprozesses zur Veralberung es durchzuführen; andere mit genügend Vorzügen überschreiben einfach das Gedächtnis einer Zielanwendung. Spritzenmechanismen schließen ein:

• Gebrauch von Verkäufer-gelieferten Anwendungserweiterungen. Zum Beispiel hat Windows-Forscher öffentliche Schnittstellen, die Dritten erlauben, seine Funktionalität zu erweitern.
• Auffangen von Nachrichten.
• Testhilfeprogramme.
• Ausnutzung der Sicherheitsverwundbarkeit.
• Das Funktionsanspannen oder Flicken allgemein verwendeten APIs, um zum Beispiel einen laufenden Prozess oder Datei zu maskieren, die auf einem filesystem wohnt.

Kernweise

Kernweise rootkits geführt mit den höchsten Betriebssystemvorzügen (Ring 0) durch das Hinzufügen des Codes oder das Ersetzen von Teilen des Kernbetriebssystems, einschließlich beider der Kern und die vereinigten Gerät-Fahrer. Am meisten Betriebssysteme unterstützen Kernweise-Gerät-Fahrer, die mit denselben Vorzügen wie das Betriebssystem selbst durchführen. Als solcher viele Kernweise werden rootkits als Gerät-Fahrer oder loadable Module, wie Loadable-Kernmodule in Linux oder Gerät-Fahrer in Windows von Microsoft entwickelt. Diese Klasse von rootkit hat uneingeschränkten Sicherheitszugang, aber ist schwieriger zu schreiben. Die Kompliziertheit macht Programmfehler üblich, und irgendwelche Programmfehler im Code, der am Kernniveau funktioniert, können Systemstabilität ernstlich zusammenpressen, zu Entdeckung des rootkit führend. Einer des ersten weit bekannten Kerns rootkits wurde für Windows NT 4.0 entwickelt und in der Zeitschrift Phrack 1999 von Greg Hoglund veröffentlicht.

Kern rootkits kann besonders schwierig sein, zu entdecken und umzuziehen, weil sie an demselben Sicherheitsniveau wie das Betriebssystem selbst funktionieren, und so im Stande sind, die am meisten vertrauten Betriebssystemoperationen abzufangen oder zu stürzen. Jede Software, wie Antivirus-Software, auf dem in Verlegenheit gebrachten System laufend, ist ebenso verwundbar. In dieser Situation kann keinem Teil des Systems vertraut werden.

Ein rootkit kann Datenstrukturen im Windows-Kern das Verwenden einer als direkte Kerngegenstand-Modifizierung (DKOM) bekannten Methode modifizieren. Diese Methode kann Kernfunktionen in System Service Descriptor Table (SSDT) anhaken, oder die Tore zwischen Benutzerweise und Kernweise modifizieren, um sich zu bemänteln. Ähnlich für Linux Betriebssystem kann ein rootkit den Systemanruf-Tisch modifizieren, um Kernfunktionalität zu stürzen. Es ist für einen rootkit ziemlich üblich, einen verborgenen, encrypted filesystem zu schaffen, in dem es anderen malware oder ursprüngliche Kopien von Dateien verbergen kann, die es angesteckt hat.

Betriebssysteme entwickeln sich, um der Bedrohung der Kernweise rootkits entgegenzutreten. Zum Beispiel führen 64-Bit-Ausgaben von Windows von Microsoft jetzt das obligatorische Unterzeichnen aller Kernniveau-Fahrer durch, um es schwieriger für den unvertrauten Code zu machen, mit den höchsten Vorzügen in einem System durchzuführen.

Bootkits

Eine Kernweise rootkit Variante hat gerufen ein bootkit wird vorherrschend verwendet, um volle Plattenverschlüsselungssysteme, zum Beispiel als im "Schlechten Dienstmädchen-Angriff", anzugreifen, in dem ein bootkit den legitimen Stiefellader durch einen kontrollierten von einem Angreifer ersetzt; normalerweise dauert der malware Lader durch den Übergang zur geschützten Weise an, als der Kern geladen hat. Zum Beispiel stürzt der "Entsteinte Bootkit" das System durch das Verwenden eines in Verlegenheit gebrachten Stiefelladers, um Verschlüsselungsschlüssel und Kennwörter abzufangen. Mehr kürzlich hat Alureon rootkit die Voraussetzung für den 64-Bit-Kernweise-Fahrer erfolgreich gestürzt, der in Windows 7 durch das Ändern der Master-Stiefelaufzeichnung unterzeichnet.

Die einzige bekannte Verteidigung gegen Bootkit-Angriffe ist die Verhinderung des unerlaubten physischen Zugangs zum System — einem Problem für tragbare Computer — oder der Gebrauch eines Vertrauten Plattform-Moduls, das konfiguriert ist, um den Stiefelpfad zu schützen.

Hyperschirm-Niveau

Rootkits sind als Hyperschirme des Typs II in der Akademie als Beweise des Konzepts geschaffen worden. Durch die Ausnutzung von Hardware-Virtualisierungseigenschaften wie Intel VT oder AMD-V läuft dieser Typ von rootkit im Ring-1 und veranstaltet das Ziel Betriebssystem als eine virtuelle Maschine, dadurch dem rootkit ermöglichend, durch das ursprüngliche Betriebssystem gemachte Hardware-Anrufe abzufangen. Verschieden von normalen Hyperschirmen müssen sie nicht vor dem Betriebssystem laden, aber können in ein Betriebssystem vor der Förderung davon in eine virtuelle Maschine laden. Ein Hyperschirm rootkit muss keine Modifizierungen zum Kern des Ziels machen, um es zu stürzen; jedoch bedeutet das nicht, dass es vom Gast Betriebssystem nicht entdeckt werden kann. Zum Beispiel kann Timing von Unterschieden in Zentraleinheitsinstruktionen feststellbar sein. Das "SubVirt" Laboratorium rootkit, entwickelt gemeinsam von Microsoft und Universität von Michiganer Forschern, ist ein akademisches Beispiel von virtuellem maschinenbasiertem rootkit (VMBR),

während Blaue Pille ein anderer ist.

2009 haben Forscher von der Staatlichen Universität von Microsoft und North Carolina demonstriert, dass eine Hyperschirm-Schicht anti-rootkit Hooksafe genannt hat, der allgemeinen Schutz gegen die Kernweise rootkits zur Verfügung stellt.

Hardware/Firmware

Ein firmware rootkit verwendet Gerät oder Plattform firmware, um ein beharrliches malware Image in der Hardware, wie eine Netzkarte, Festplatte oder das System BIOS zu schaffen. Der rootkit verbirgt sich in firmware, weil firmware für die Codeintegrität nicht gewöhnlich untersucht wird. John Heasman hat die Lebensfähigkeit von firmware rootkits sowohl in ACPI firmware Routinen als auch in einem PCI Vergrößerungskarte-ROM demonstriert.

Im Oktober 2008 haben Verbrecher an europäischen kreditkartenlesenden Maschinen herumgebastelt, bevor sie installiert wurden. Die Geräte abgefangene und übersandte Kreditkartendetails über ein Mobiltelefonnetz. Im März 2009 haben Forscher Alfredo Ortega und Anibal Sacco Details von BIOS-Niveau-Windows rootkit veröffentlicht, der im Stande gewesen ist, Plattenersatz und Betriebssystemneuinstallation zu überleben. Ein paar Monate später haben sie gefunden, dass einige Laptops mit einem legitimen rootkit, bekannt als CompuTrace oder LoJack für Laptops verkauft werden, die im BIOS vorinstalliert sind. Das ist ein Antidiebstahltechnologiesystem, das Forscher gezeigt haben, kann zu böswilligen Zwecken gedreht werden.

Installation und das Bemänteln

Rootkits verwenden eine Vielfalt von Techniken, um Kontrolle eines Systems zu gewinnen; der Typ von rootkit beeinflusst die Wahl des Angriffsvektoren. Die allgemeinste Technik-Einfluss-Sicherheitsverwundbarkeit, um erschlichene Vorzug-Eskalation zu erreichen. Eine andere Annäherung soll ein trojanisches Pferd verwenden, einen Computerbenutzer ins Vertrauen dem Installationsprogramm des rootkit täuschend, weil gütige in diesem Fall, soziale Technik einen Benutzer überzeugt, dass der rootkit vorteilhaft ist. Die Installationsaufgabe wird leichter gemacht, wenn der Grundsatz von kleinstem Vorzug nicht angewandt wird, da der rootkit dann erhoben (Verwalter-Niveau) Vorzüge nicht ausführlich bitten muss. Andere Klassen von rootkits können nur von jemandem mit dem physischen Zugang zum Zielsystem installiert werden.

Die Installation von böswilligem rootkits, wird mit einem pay-install (PPI) für den Vertrieb typische Entschädigungsmethode gewerblich gesteuert.

Einmal installiert ergreift ein rootkit aktive Maßnahmen, um seine Anwesenheit innerhalb des Gastgeber-Systems durch den Umsturz oder die Vermeidung von Standardbetriebssystemsicherheitswerkzeugen und APIs zu verdunkeln, der für die Diagnose, Abtastung und Überwachung verwendet ist. Rootkits erreichen das durch das Ändern des Verhaltens von Kernteilen eines Betriebssystems durch den ladenden Code in andere Prozesse, die Installation oder Modifizierung von Fahrern oder Kernmodule. Verfinsterungstechniken schließen Verbergen-Laufen-Prozesse von Systemüberwachungsmechanismen und das Verbergen von Systemdateien und anderen Konfigurationsdaten ein. Es ist für einen rootkit ziemlich üblich, die Ereignis-Protokollierungskapazität eines Betriebssystems in einem Versuch unbrauchbar zu machen, Beweise eines Angriffs zu verbergen. Rootkits, in der Theorie, kann irgendwelche Betriebssystemtätigkeiten stürzen. Vom "vollkommenen rootkit" kann als ähnlich einem "vollkommenen Verbrechen" gedacht werden: Derjenige, den niemand begreift, hat stattgefunden.

Rootkits ergreifen auch mehrere Maßnahmen, um ihr Überleben gegen die Entdeckung und Reinigung durch die Antivirus-Software zusätzlich zur üblichen Installation in den Ring 0 (Kernweise) zu sichern, wo sie ganzen Zugang zu einem System haben. Diese schließen polymorphism, Heimlichkeitstechniken, Regeneration ein, und anti-malware Software unbrauchbar machend.

Entdeckung

Das grundsätzliche Problem mit der rootkit Entdeckung besteht darin, dass, wenn das Betriebssystem, besonders durch ein Kernniveau rootkit gestürzt worden ist, ihm nicht vertraut werden kann, um unerlaubte Modifizierungen zu sich oder seinen Bestandteilen zu finden. Handlungen wie Anforderung einer Liste, Prozesse oder eine Liste von Dateien in einem Verzeichnis zu führen, kann nicht vertraut werden, um sich wie erwartet, zu benehmen. Mit anderen Worten, rootkit Entdecker, die arbeiten, während sie an angesteckten Systemen laufen, sind nur gegen rootkits wirksam, die etwas Defekt in ihrer Tarnung oder diesen Lauf mit niedrigeren Benutzerweise-Vorzügen haben als die Entdeckungssoftware im Kern. Als mit Computerviren, der Entdeckung und Beseitigung von rootkits ist ein andauernder Kampf zwischen beiden Seiten dieses Konflikts.

Entdeckung kann mehrere verschiedene Annäherungen, einschließlich Unterschriften (z.B Antivirus-Software), Integritätsüberprüfung (z.B Digitalunterschriften), Unterschied-basierte Entdeckung (Vergleich von erwarteten gegen wirkliche Ergebnisse) und Verhaltensentdeckung nehmen (z.B Zentraleinheitsgebrauch oder Netzverkehr kontrollierend).

Entdeckungsangebote von Unix rootkit schließen Zeppoo, chkrootkit, rkhunter und OSSEC ein. Für Windows schließen Entdeckungswerkzeuge Microsoft Sysinternals RootkitRevealer, Avast ein! Antivirus, Sophos Anti-Rootkit, F-Secure, Basis, GMER und WindowsSCOPE. Irgendwelche rootkit Entdecker, die sich wirksam schließlich erweisen, tragen zu ihrer eigenen Unwirksamkeit bei, weil malware Autoren anpassen und ihren Code prüfen, um Entdeckung durch gut verwendete Werkzeuge zu entkommen.

Alternative hat Medium vertraut

Die beste und zuverlässigste Methode für die Betriebssystemebene rootkit Entdeckung soll den Computer schließen, der Infektion verdächtigt ist, und dann zu überprüfen, dass seine Lagerung durch das Starten von einer Alternative Medium (z.B eine Rettungs-CD-ROM oder USB-Blitz-Laufwerk) vertraut hat. Die Technik ist wirksam, weil ein rootkit seine Anwesenheit nicht aktiv verbergen kann, wenn es nicht läuft.

Verhaltens-

Die Verhaltensannäherung an das Ermitteln rootkits versucht, die Anwesenheit eines rootkit durch das Suchen nach rootkit ähnlichem Verhalten abzuleiten. Zum Beispiel, indem sie ein System im Profil dargestellt wird, können Unterschiede im Timing und der Frequenz von API-Anrufen oder in der gesamten Zentraleinheitsanwendung einem rootkit zugeschrieben werden. Die Methode ist kompliziert und wird durch ein hohes Vorkommen von falschem positives behindert. Fehlerhafter rootkits kann manchmal sehr offensichtliche Änderungen zu einem System einführen: Alureon rootkit hat Windows-Systeme zertrümmert, nachdem eine Sicherheitsaktualisierung einen Designfehler in seinem Code ausgestellt hat.

Klotz von einem Paket können Analysator, Brandmauer oder Eindringen-Verhinderungssystem Beweis des rootkit Verhaltens in einer vernetzten Umgebung liefern.

Unterschrift-basiert

Antivirus-Produkte fangen selten alle Viren in öffentlichen Tests (abhängig davon, was verwendet wird, und inwieweit), wenn auch Sicherheitssoftwareverkäufer rootkit Entdeckung in ihre Produkte vereinigen. Wenn ein rootkit versucht, sich während eines Antivirus-Ansehens zu verbergen, kann ein Heimlichkeitsentdecker bemerken; wenn der rootkit versucht, sich vom System provisorisch auszuladen, kann Unterschrift-Entdeckung (oder "Fingerabdrücke machend") es noch finden. Diese vereinigte Annäherung zwingt Angreifer, Gegenangriff-Mechanismen oder "retro" Routinen, dieser Versuch durchzuführen, Antivirus-Programme zu begrenzen. Unterschrift-basierte Entdeckungsmethoden können gegen gut veröffentlichten rootkits, aber weniger gegen den besonders gefertigten, kundenspezifische Wurzel rootkits wirksam sein.

Unterschied-basiert

Eine andere Methode, die rootkits entdecken kann, vergleicht sich hat rohen Daten "den verdorbenen" durch eine API zurückgegebenen Inhalt "anvertraut". Zum Beispiel kann die Dualzahl-Gegenwart auf der Platte im Vergleich zu ihren Kopien innerhalb des Betriebsgedächtnisses sein (in einigen Betriebssystemen, das Image im Gedächtnis sollte zum Image auf der Platte identisch sein), oder die Ergebnisse sind vom Dateisystem oder der Windows-Registrierung zurückgekehrt APIs kann gegen rohe Strukturen auf den zu Grunde liegenden physischen Platten — jedoch, im Fall vom ersteren überprüft werden, einige gültige Unterschiede können durch Betriebssystemmechanismen wie Speicherwiederposition oder shimming eingeführt werden. Unterschied-basierte Entdeckung wurde durch das Werkzeug von RootkitRevealer von Russinovich verwendet, um Sony DRM rootkit zu finden.

Integritätsüberprüfung

Eine kryptografische Kuddelmuddel-Funktion kann verwendet werden, um einen "Fingerabdruck" oder Digitalunterschrift zu schätzen, die helfen kann, nachfolgende unerlaubte Änderungen zu Codebibliotheken auf der Platte zu entdecken. Jedoch überprüfen unverfälschte Schemas nur, ob der Code seit der Ausgabe vom "Herausgeber" modifiziert worden ist; der Umsturz vor dieser Zeit ist nicht feststellbar. Der Fingerabdruck muss jedes Mal wieder hergestellt werden, wenn Änderungen mit dem System vorgenommen werden: zum Beispiel, nach der Installation von Sicherheitsaktualisierungen oder einem Dienstsatz. Die Kuddelmuddel-Funktion schafft eine Nachrichtenauswahl, einen relativ kurzen Code, der von jedem Bit in der Datei mit einem Algorithmus berechnet ist, der große Änderungen in der Nachrichtenauswahl mit sogar kleinen Änderungen zur ursprünglichen Datei schafft. Durch das Wiederrechnen und das Vergleichen der Nachrichtenauswahl der installierten Dateien regelmäßig gegen eine vertraute Liste von Fingerabdrücken können Änderungen im System entdeckt und — kontrolliert werden, so lange der ursprüngliche Grundlinie-Fingerabdruck geschaffen wurde, bevor der malware hinzugefügt wurde. Mehr - sind hoch entwickelte rootkits im Stande, den Überprüfungsprozess durch das Präsentieren einer unmodifizierten Kopie der Datei zur Ansicht, oder durch das Bilden von Modifizierungen nur im Gedächtnis, aber nicht auf der Platte zu stürzen. Die Technik kann deshalb nur gegen unverfälschten rootkits — zum Beispiel, diejenigen wirksam sein, die Dualzahlen von Unix wie "ls" ersetzen, um die Anwesenheit einer Datei zu maskieren.

Ähnlich kann die Entdeckung in firmware durch die Computerwissenschaft eines kryptografischen Kuddelmuddels des firmware und das Vergleichen davon mit einem whitelist von erwarteten Werten, oder durch das Verlängern des Kuddelmuddel-Werts in Konfigurationsregister von Trusted Platform Module (TPM) erreicht werden, die später im Vergleich zu einem whitelist von erwarteten Werten sind. Der Code, der Kuddelmuddel durchführt, vergleicht sich oder streckt sich aus Operationen müssen auch — in diesem Zusammenhang geschützt werden, der Begriff einer unveränderlichen Wurzel des Vertrauens meint, dass dem allerersten Code, um Sicherheitseigenschaften eines Systems zu messen, selbst vertraut werden muss, um sicherzustellen, dass ein rootkit oder bootkit das System an seinem grundsätzlichsten Niveau nicht in Verlegenheit bringen.

Speichermüllkippen

Das Zwingen einer ganzen Müllkippe des virtuellen Gedächtnisses wird einen aktiven rootkit (oder eine Kernmüllkippe im Fall von einer Kernweise rootkit) gewinnen, Off-Lineanalyse erlaubend, mit einem Testhilfeprogramm gegen die resultierende Müllkippe-Datei ohne den rootkit durchgeführt zu werden, der im Stande ist, irgendwelche Maßnahmen zu ergreifen, um sich zu bemänteln. Diese Technik wird hoch spezialisiert, und kann Zugang zum nichtöffentlichen Quellcode oder den Beseitigen-Symbolen verlangen. Durch das Betriebssystem begonnene Speichermüllkippen können nicht verwendet werden, um einen Hyperschirm-basierten rootkit zu entdecken, der im Stande ist, die Tiefststand-Versuche abzufangen und zu stürzen, Gedächtnis — ein Hardware-Gerät wie dasjenige zu lesen, das eine nichtmaskierbare Unterbrechung durchführt, ist erforderlich, Gedächtnis in diesem Drehbuch abzuladen.

Eliminierung

Die manuelle Eliminierung eines rootkit ist häufig für einen typischen Computerbenutzer zu schwierig, aber mehrere Sicherheitssoftware-Verkäufer bieten Werkzeuge an, um einen rootkits normalerweise als ein Teil eines Antivirus-Gefolges automatisch zu entdecken und zu entfernen., Monatswindows des Microsofts Böswilliges Softwareeliminierungswerkzeug ist im Stande, einige Klassen von rootkits zu entdecken und zu entfernen. Einige Antivirus-Scanner können Dateisystem APIs umgehen, die für die Manipulation durch einen rootkit verwundbar sind. Statt dessen greifen sie auf Rohstoff filesystem Strukturen direkt zu, und verwenden diese Information, um die Ergebnisse vom System APIs gültig zu machen, um irgendwelche Unterschiede zu identifizieren, die durch einen rootkit verursacht werden können.

Es gibt Experten, die glauben, dass die einzige zuverlässige Weise, sie zu entfernen, das Betriebssystem von vertrauten Medien wiederinstallieren soll. Das ist, weil Antivirus und malware Eliminierungswerkzeuge, die auf einem unvertrauten System laufen, gegen die gut geschriebene Kernweise rootkits unwirksam sein können. Das Starten eines abwechselnden Betriebssystems von vertrauten Medien kann einem angesteckten Systemvolumen erlauben, bestiegen und potenziell sicher gereinigt zu werden, und kritische Daten, die von — oder, wechselweise, eine forensische durchgeführte Überprüfung zu kopieren sind. Leichtgewichtsbetriebssysteme wie Windows PE, Windows-Wiederherstellungskonsole, Windows-Wiederherstellungsumgebung, BartPE oder Lebender Distros können für diesen Zweck verwendet werden, dem System erlaubend, gereinigt zu werden.

Selbst wenn der Typ und die Natur eines rootkit bekannt sind, kann manuelle Reparatur unpraktisch sein, während die Wiederinstallation des Betriebssystems und der Anwendungen sicherer, einfacher und schneller ist.

Öffentliche Verfügbarkeit

Wie viel von Angreifern verwendeter malware werden viele rootkit Durchführungen geteilt und sind im Internet leicht verfügbar. Es ist ziemlich üblich, ein in Verlegenheit gebrachtes System zu sehen, in dem ein hoch entwickelter, öffentlich verfügbarer rootkit die Anwesenheit unverfälschter Würmer oder von unerfahrenen Programmierern anscheinend geschriebener Angriffswerkzeuge verbirgt.

Die meisten rootkits verfügbaren im Internet sind als Großtaten oder als akademische "Beweise des Konzepts" entstanden, um unterschiedliche Methoden zu demonstrieren, Dinge innerhalb eines Computersystems und davon zu verbergen, unerlaubte Kontrolle davon zu nehmen. Häufig nicht völlig optimiert für die Heimlichkeit verlassen solche rootkits manchmal unbeabsichtigte Beweise ihrer Anwesenheit. Trotzdem, wenn solche rootkits in einem Angriff verwendet werden, sind sie häufig wirksam. Andere rootkits mit Keylogging-Eigenschaften wie GameGuard werden als ein Teil von kommerziellen Online-Spielen installiert.

Verteidigungen

Das Systemhärten vertritt eine der ersten Schichten der Verteidigung gegen einen rootkit, um es davon abzuhalten, im Stande zu sein zu installieren. Verwendung von Sicherheitsflecken, das Einführen des Grundsatzes von kleinstem Vorzug, das Reduzieren der Angriffsoberfläche und die Installation der Antivirus-Software sind etwas Standardsicherheit beste Methoden, die gegen alle Klassen von malware wirksam sind. Sobald diese Maßnahmen im Platz sind, ist alltägliche Überwachung erforderlich. In den meisten Fällen jedoch soll die einzige Verteidigung gegen einen rootkit Ihre Festplatte wiederformatieren, um alle Dateien völlig zu löschen.

Neue sichere Stiefelspezifizierungen wie Vereinigte Ausziehbare Firmware-Schnittstelle werden zurzeit entworfen, um die Drohung von bootkits zu richten.

Siehe auch

• Mann im mittleren Angriff
• Hacker betrügerischer
• Gastgeber-basiertes Eindringen-Entdeckungssystem
• OHNE errichten

Referenzen

Weiterführende Literatur

Außenverbindungen

• Rootkit Analyse: Forschung und Analyse von Rootkits
• Noch Scheußlicher: Traditioneller RootKits
• Sophos Podcast über die rootkit Eliminierung
• Forschung von Rootkit in Microsoft
• Von der antivirus/anti-rootkit Software für die Entdeckung und Eliminierung von rootkits, Anti-Malware Testlaboratorium, Januar 2008 prüfend
• Von der anti-rootkit Software, InformationWeek, Januar 2007 prüfend
• Sicherheit Jetzt! Episode 9, Rootkits, Podcast durch Steve Gibson/GRC das Erklären der Technologie von Rootkit, Oktober 2005