Rootkit

Název

Popis

Uživatelský režim

User-mode rootkitů spustit v Ring 3 , spolu s dalšími aplikacemi, jako uživatele, spíše než procesy systému na nízké úrovni.Mají řadu možných instalačních vektorů zachytit a změnit standardní chování rozhraní pro programování aplikací (API). Některé aplikovat dynamicky propojené knihovnu (jako např. DLL. souboru v systému Windows nebo souboru na Mac dylib. OS X ) i do dalších procesů, a jsou tak schopni realizovat v každém cílovém procesu to strašidlo; jiní s dostatečnými oprávněními jednoduše přepsat paměť cílové aplikace

Režim jádra

Kernel-mode rootkitů spustit s nejvyššími operačního systému privilegií ( Ring 0 ) přidáním kódu nebo výměnou části jádra operačního systému, včetně jak jádro a přidružených ovladačů zařízení . Většina operačních systémů podporuje ovladače režimu jádra zařízení, které vykonávají se stejnými oprávněními jako samotný operační systém. Jako takový, mnoho kernel-mode rootkitů jsou vyvíjeny jako ovladače zařízení nebo modulech, jako je loadable moduly jádra v Linuxu nebo ovladače zařízení v systému Microsoft Windows . Tato třída rootkit má neomezený přístup k bezpečnosti, ale je obtížnější psát. Složitost dělá chyby běžné, a případné chyby v kódu pracující na úrovni jádra může vážně ovlivnit stabilitu systému, což vede k objevu rootkit. Jedním z prvních široce známých rootkitů jádra vyvinul pro systém Windows NT 4.0 a povolený v Phrack časopisu v roce 1999 Greg Hoglund .

Bootkits

Kernel-mode rootkit varianta tzv. bootkit může nakazit spouštěcí kód jako Master Boot Record (MBR), Volume Boot Record (VBR), nebo boot sektoru , a tímto způsobem, mohou být použity k útoku na plné šifrování disku systému. Příkladem je "Evil Maid útok", ve kterém útočník nainstaluje bootkit na bezobslužné počítače, nahrazovat legitimní zavaděč s jednou pod svou kontrolou. Typicky malware loader přetrvává po přechodu do chráněného režimu , kdy jádro je načten, a je tak schopna rozvrátit jádra.  Například, "Stoned bootkit" rozvrací systém použití ohrožena zavaděč zachytit šifrovacích klíčů a hesel.Více nedávno, Alureon rootkit úspěšně zneužita požadavek na 64-bit kernel-mode ovladač podpisu ve Windows 7 změnou hlavní spouštěcí záznam . I když to není malware v tom smyslu, dělat něco, co uživatel nechce, jistý "Vista Loader" nebo software "Windows Loader" funguje podobným způsobem vstřikování ACPI SLIC (System licenční interní kód) tabulky v paměti RAM mezipaměti verze BIOS při startu, aby se porazit Windows Vista a Windows proces aktivace 7 . Tento vektor útoku byl odstraněn v (non-server), verze Windows 8 , který podporuje pouze metody aktivace založené na serveru.

Úroveň hypervisor

Rootkity byly vytvořeny jako Typ II Hypervisory v akademickém jako důkazy konceptu. Tím, že využívá virtualizaci hardwaru funkce, jako je Intel VT nebo AMD-V , tento typ rootkit běží v kruhu -1 a hostí operační systém cílového jako virtuální stroj , což umožňuje rootkit zachytit hardwarové volání ze strany původního operačního systému.Na rozdíl od běžných hypervisory, že se nemusí načíst do operačního systému, ale můžete načíst do operační systém, než podporovat to do virtuálního stroje. hypervisor rootkit nemusí provádět žádné úpravy jádra cíl, aby ji rozvrátit; Nicméně, to neznamená, že to nemůže být detekován operačním systémem hodnocení. Například, časové rozdíly mohou být zjistitelné v CPU instrukcí."SubVirt" laboratoř rootkit, vyvinutý společně Microsoft a University of Michigan výzkumníků, je akademický příklad virtuálního počítače na bázi rootkit (VMBR),  zatímco modrá pilulka je jiný.

Firmware a hardware

Firmware rootkit používá zařízení nebo platformu firmware vytvořit přetrvávající malware obraz v hardware, například směrovače , síťová karta ,pevný disk , nebo systému BIOS . rootkit schová ve firmwaru, protože firmware není obvykle zkontrolovat integritu kódu. John Heasman prokázal životaschopnost firmwaru rootkitů v obou ACPI rutiny firmware a v PCI rozšiřující karty ROM . V říjnu 2008, zločinci manipulováno s evropskými kreditní karty čtení strojů před tím, než byly instalovány. Přístroje zachyceny a přenášeny údaje o kreditní kartě přes mobilní telefonní sítě.V březnu 2009, výzkumníci Alfredo Ortega a Anibal Sacco zveřejněny údaje o BIOS-úrovni Windows rootkit, která byla schopna přežít výměnu disku a operační systém re-instalaci. O několik měsíců později se dozvěděli, že některé notebooky jsou prodávány s oprávněným rootkit, známý jako Absolute Computrace nebo [Absolute] LoJack pro notebooky, předinstalován v systému BIOS. Toto je anti- krádež technologie systém, který výzkumníci ukázali, lze otočit škodlivým účelům.