Rootkit
Rootkit je kradmé typ softwaru, často dokonce škodlivé, jež mají skrýt existenci určitých procesů nebo programů z běžných metod detekce a umožní pokračování privilegovaný přístup k počítači. [ 1 ] Pojem rootkit je složen z "root"(tradiční název privilegovaného účtu na unixových operačních systémech) a slovo "kit" (který odkazuje na softwarové komponenty, které implementují nástroje). Termín "rootkit" má negativní konotace přes jeho vztah s malware .[ 1 ]
Rootkit instalace lze automatizovat, nebo útočník jej nainstalovat, když si získat root nebo administrátora. Získání tohoto přístupu je buď důsledkem přímého útoku na systému (tj. využívání známou chybu zabezpečení, heslo (buď trhlin , zvýšení úrovně oprávnění , nebo sociální inženýrství )). Po instalaci se stává možné skrýt vniknutí, stejně jako udržovat přednostní přístup. Stejně jako každý software, který může mít dobrý účel nebo škodlivý účel. Klíčem k úspěchu je root / Administrátor přístupu. Plná kontrola nad systému znamená, že stávající software může být upraven, včetně softwaru, který by jinak mohl být pro detekci nebo obejít ji.
Zjišťování virových nástrojů je obtížné, protože rootkit může být schopen rozvrátit software, který je určen najít. Detekční metody zahrnují použití alternativní a důvěryhodné operační systém , behaviorální metody založené, podpis skenování, skenování rozdíl, a výpisem stavu paměti analýzu.Odstranění může být složité nebo prakticky nemožné, a to zejména v případech, kdy rootkit pobývá v jádře , reinstalace operačního systému může být k dispozici pouze řešení problému. Při jednání s firmware rootkity, může odstranění může vyžadovat výměnu hardwaru, nebo specializovaný zařízení.
První doložený počítačový virus se zaměřit na osobní počítač tržiště, objevil v roce 1986, používané maskovací techniky skrýt sám: Brain virus zachycen pokusů číst boot sektor , a přesměrován ty se jinde na disku, kde kopii původního boty sektoru bylo zachováno. [ 1 ] V průběhu doby, DOS -virus maskovací metody se staly sofistikovanější, s pokročilými technikami včetnězavěšení na low-level disku INT 13H BIOS přerušení volání skrývat nedovolené úpravy k souborům. [ 1 ]
Termín rootkit nebo kořen kit původně se odkazoval na speciálně upravený soubor nástrojů pro správu, pro Unix-jako operační systém , který udělil "kořenový "přístup. [ 2 ] Pokud útočník mohl nahradit standardní nástroje pro správu systému s rootkit, Vetřelec může získat root přes systém při současném utajit tyto aktivity z legálního správce systému . Tyto první generace rootkity byla triviální zjistit pomocí nástrojů, jako jsou Tripwire , které nebyly napadené, aby přístup ke stejným informacím. [ 3 ] [ 4 ] Lane Davis a Steven Dake psal nejdříve známý rootkit v roce 1990 společnosti Sun Microsystems " SunOS operačního systému UNIX systém. [ 5 ] Ken Thompsonz Bell Labs , jednoho z tvůrců Unixu, převrácený na kompilátor C v Unix distribuci a diskutovali o exploit na přednášce dal po obdržení ocenění Turing v roce 1983. Upravený kompilátor by odhalit pokusy pro kompilaci Unix "Přihlásit se" příkaz a generovat změněný kód, který by přijmout nejen uživatele správné heslo, ale další hesla známý útočník. Dále by kompilátor odhalit pokusy sestavit novou verzi kompilátoru, a vkládá do stejné exploity do nového kompilátoru. Přezkum zdrojového kódu pro "login" příkazu nebo aktualizovaného kompilátor by neodhalil žádnou škodlivý kód. [ 6 ] Tento exploit byl ekvivalentní k rootkit.
První škodlivý rootkit pro Windows NT operační systém se objevil v roce 1999: trojan nazvaný NTRootkit vytvořil Greg Hoglund . [ 7 ] To bylo následovánoHackerDefender v roce 2003. [ 1 ] První rootkit cílení Mac OS X se objevila v roce 2009, [ 8 ] , zatímco Stuxnet červ byl první cíl programovatelných logických automatů (PLC). [ 9 ]
Hlavní článek: Sony BMG ochrana proti kopírování rootkit skandál
V roce 2005, Sony BMG zveřejnilaCD s ochranou proti kopírování aspráva digitálních práv software s názvem Rozšířená Copy Protection, vytvořil softwarové společnosti First 4 Internet . Software dodaný hudební přehrávač, ale tiše nainstalovaný rootkit, který omezuje schopnost uživatele pro přístup k CD. [ 10 ]
Software inženýr Mark Russinovich , který vytvořil detekce rootkitů, nástrojeRootkitRevealer , objevil rootkit na jednom ze svých počítačů. [ 1 ] Následující skandál zvýšila povědomí veřejnosti o rootkitů. [ 11 ]
Chcete-li plášť sám, rootkit ukryl od uživatele libovolný soubor začínající na "$ sys $". Brzy po zprávě Russinovichem je, malware se objevil který využil této zranitelnosti postižených systémů. [ 1 ]
Jeden BBC analytik říká, že "public relations noční můra." [ 12 ] Sony BMG vydala záplaty na odinstalovat rootkit, ale vystavena uživatelům ještě závažnější chybou. [ 13 ] Společnost nakonec připomněl CD. Ve Spojených státech,hromadné žaloby soud byla podána proti společnosti Sony BMG. [ 14 ]
Hlavní článek: Řecká odposlechu případ 2004-2005
Řecké odposlechy případ 2004-05 , také odkazoval se na jako řecké Watergate , [ 15 ] zahrnoval nelegální ťukání více než 100 mobilních telefonůna Vodafone Řecko sítě patří především členům řecké vlády a špičkových státních úředníků. Kohouty začala někdy v blízkosti začátku srpna 2004 a byly odstraněny 03. 2005, aniž by objevování identity pachatelů.
Za účelem provedení odposlechů, útočníci nainstalovaný rootkit, který cílenou Ericsson Axe telefonní ústřednu . Podle IEEE Spectrum, to bylo "poprvé rootkit byl pozorován na účelový systém, v tomto případě telefon Ericsson switch."[ 16 ] rootkit byl navržen tak, aby oprava paměti výměny, zatímco byl spuštěn , aby odposlechy při vypnutí auditu protokoly, oprava příkazy, které seznam aktivních procesů a aktivních datových bloků, a upravit datový blok kontrolníhoověřování příkazu. Backdoor povolen operátor s sysadmin stavu k deaktivaci burzy protokolu transakce a alarmy, a přístup příkazy týkající se dohledu schopnosti. [ 16 ] rootkit byl objeven po vetřelci instalaci vadného aktualizaci, která způsobila SMS texty bude nedoručený, což vede k automatizovanému selhání zprávy jsou generované. Ericsson inženýři byli povoláni k vyšetřování závady, a na tomto místě objevil skryté datové bloky obsahující seznam telefonních čísel, který je monitorován, spolu s rootkit a nedovolené monitorovací software, který byl nainstalován.
Moderní rootkity nemají pozvednout přístup, [ 2 ] , ale spíše se používají k výrobě jiného softwaru užitečného nezjistitelné přidáním stealth schopnosti. [ 7 ]Většina rootkity jsou klasifikovány jako malware , protože užitečné zatížení, které jsou svázané s jsou škodlivé. Například, může náklad tajně ukrást uživatelská hesla , kreditní karty informace, výpočetní zdroje, nebo provádět jiné neoprávněné činnosti. Malý počet rootkitů může být považována za pomocné aplikace jejich uživatelů: například, může rootkit plášť na CD-ROM -emulaci ovladače, který umožňuje videohry uživatelům porazit proti pirátstvíopatření, která vyžadují vložení původního instalačního média do fyzického optická mechanika k ověření, že software byl legitimně zakoupené.
Rootkity a jejich užitečná zatížení mají mnoho využití:
Umožnit útočníkovi s plným přístupem přes backdoor , který umožňuje neoprávněný přístup k, například, ukrást nebo falšovat dokumenty. Jedním ze způsobů, jak se touto činností zabývají, je rozvrátit přihlašovací mechanismus, jako je například / bin / login program na Unix-jako systémy nebo Ginu na Windows. Náhradní vypadá, že funguje normálně, ale také přijímá tajnou přihlašovací kombinaci, která umožňuje útočníkovi přímý přístup do systému s administrátorskými oprávněními, obcházet standardníověřování a autorizace mechanismy.
Skryjte další malware , zejména heslem krádež keyloggery a počítačové viry . [ 17 ]
Přivlastnit si ohrožena stroj jako zombie počítače k útokům na jiné počítače. (Útok pochází z ohrožení systému nebo sítě, místo útočníka systému.) "Zombie" počítače jsou obvykle členy velkých botnetů , které mohou vypustit denial-of-service útokům a distribuovat e-mail spam .
Výkon správy digitálních práv (DRM).
V některých případech, rootkity poskytují prospěšný funkčnost, a může být instalována úmyslně vlastník počítače:
Skryjte podvádění v online hrách od softwaru, jako je Warden . [ 18 ]
Zvýšit emulační software a bezpečnostní software. [ 20 ] Alcohol 120% aDaemon Tools jsou obchodní příklady non-nepřátelských rootkity použity porazit kopírování ochranné mechanismy, jako jsou SafeDisc a SecuROM .Kaspersky antivirus software také používá techniky připomínající rootkity chránit sebe od škodlivého akce. To načte vlastní ovladače zachytit činnost systému, a zabrání jiné procesy z udělání škody k sobě. Její procesy nejsou skryté, ale nelze ukončit standardním způsobem (může být ukončena Process Hacker ).
Ochrana proti krádeži:. Notebooky mohou mít BIOS-založený rootkit software, který bude pravidelně hlásit ústřednímu orgánu, který umožňuje laptopu sledovat, zakázán nebo otřel informací v případě, že je ukraden [ 21 ]
Další informace: Ring (počítačová bezpečnost)
Existuje nejméně pět typů rootkitů, od těch, na nejnižší úrovni ve firmware (s nejvyššími oprávněními), až nejméně privilegovaných user-založené varianty, které působí v Ring 3 . Hybridní kombinace mohou se objevit trvat, například, user mode a kernel mode. [ 23 ]
Uživatel-mode rootkitů spustit v Ring 3 , spolu s dalšími aplikacemi, jako uživatel, nikoli low-level systémových procesů. [ 24 ] Mají řadu možných instalačních vektorů zachytit a změnit standardní chování rozhraní pro programování aplikací (API). Některé aplikovatdynamicky propojený knihovnu (například DLL. souboru na Windows, nebo dylib souboru na.Mac OS X ) i do dalších procesů, a jsou proto schopni realizovat v každém cílovém procesu k podvržení to, jiní s dostatečnými oprávněními přepište vzpomínka na cílové aplikaci. Vstřikovací mechanismy zahrnují: [ 24 ]
Použití prodejce dodávané aplikace rozšíření. Například, Windows Explorermá veřejné rozhraní, která umožňují třetím stranám rozšířit jeho funkčnost.
Zachycování zpráv .
Využití bezpečnostních chyb .
Funkce hákování nebo oprav z běžně používaných API, například pro zamaskování běžící proces nebo soubor, který je umístěn na souborovém systému. [ 25 ]
... Protože aplikace uživatelského režimu, všichni běží ve svém vlastním paměťovém prostoru, je rootkit musí vykonávat tuto záplatování v paměti každého spuštěné aplikace. Kromě toho, rootkit musí sledovat systém pro nové aplikace, které provádějí, a oprava paměti těchto programů "prostor dříve, než se plně realizovat.
-Windows Rootkit Přehled, Symantec [ 2 ]
Kernel-mode rootkitů spustit s nejvyššími oprávněními operačního systému (Ring 0 ) přidáním kódu nebo nahrazení části jádra operačního systému, včetně obou jádra a souvisejících ovladačů zařízení . Většina operačních systémů podporuje kernel-mode ovladače zařízení, které vykonávají se stejnými oprávněními jako operačního systému samotného. Jako takový, mnoho kernel-mode rootkitů vyvinut jako ovladače zařízení nebo modulech, jako jezatížitelnými moduly jádra v Linuxu nebo ovladače zařízení v systému Microsoft Windows . Tato třída rootkit má neomezený bezpečnostní přístup, ale je obtížnější psát. [ 26 ] Složitost je chyby časté, a všechny chyby v kódu, který působí na úrovni jádra může vážně ovlivnit stabilitu systému, což vede k objevu rootkit. [ 26 ] Jedním z prvních široce známých jádra rootkity vyvinul pro systém Windows NT 4.0 a byl propuštěn v Phrack časopisu v roce 1999 Greg Hoglund. [ 27 ] [ 28 ] [ 29 ]
Kernel rootkity mohou být obzvláště obtížné detekovat a odstranit, protože oni operují na stejné úrovni zabezpečení jako samotného operačního systému, a jsou proto schopny zachytit nebo rozvrátit nejvíce důvěryhodné operace operačního systému. Žádný software, jako je antivirový software , běžící na ohrožení systému je stejně zranitelný. [ 30 ] V této situaci, můžete žádná část systému důvěřovat.
Rootkit může změnit datové struktury v jádru systému Windows metodou známou jako přímé modifikace jádra objektu (DKOM). [ 31 ] Tato metoda může připojit jádra funkce v systému Service Descriptor tabulky (Business Intelligence Development Studio), nebo upravit brány mezi uživatelského režimu a v režimu jádra, aby se plášť sám. [ 2 ] Podobně pro Linux operační systém, může rootkit upravit systémového volání tabulku rozvrátit jádra funkce. [ 32 ] To není neobvyklé, že rootkit vytvořit skrytý, zašifrovaný souborový systém, ve kterém se může skrývat další malware nebo originální kopie souborů, které se infikované. [ 33 ]
Operační systémy vyvíjejí, aby v boji proti hrozbě kernel-mode rootkitů.Například, 64-bitové verze systému Microsoft Windows nyní realizovat povinné podepsání všech kernel-level ovladače, aby to více obtížný pro nedůvěryhodné kód spustit s nejvyššími oprávněními v systému. [ 34 ]
Kernel-mode rootkit varianta volala bootkit je používán převážně k útoku na Full Disk Encryption systémy, například jako v "Evil Maid útoku", ve kterém bootkit nahradí legitimní zavaděč s jedním ovládané útočníkem, typicky malware nakladač přetrvává přes přechod na chráněném režimu , kdy jádro je načten.[ 35 ] [ 36 ] [ 37 ] [ 38 ] Například, "Stoned Bootkit" rozvrací systém pomocí kompromitovaný zavaděč zachytit šifrovacích klíčů a hesel. [ 39 ] Více nedávno, Alureon rootkit úspěšně subverted požadavek pro 64-bitový kernel-mode ovladač podpisu v systému Windows 7 změnou master boot record . [ 40 ]
Jediné známé obrana proti bootkit útoky jsou prevence neoprávněného fyzického přístupu k systému-problém pro přenosné počítače-nebo použití předem Trusted Platform Module nakonfigurován k ochraně spouštěcí cestu.[ 41 ]
Rootkity byly vytvořeny jako typu II hypervisory v akademickém jako důkazy konceptu. Tím, že využívá funkcí virtualizační jako Intel VT nebo AMD-V , tento typ rootkit běží v kruhu -1 a hostí cílový operační systém jako virtuální stroj , čímž rootkit zachytit hardware hovory uskutečněné původního operačního systému. [ 4 ] Na rozdíl od běžných hypervisory, nemají načíst před operačním systémem, ale lze načíst do operačního systému, než jeho prosazování do virtuálního stroje. [ 4 ] hypervisor Rootkit nemusí provádět žádné úpravy na jádro cílit na subvert to, ale to neznamená, že to nemůže být detekována hostujícího operačního systému. Například, může být časové rozdíly zjistitelné v CPUinstrukcí. [ 4 ] "SubVirt" laboratoř rootkit, vyvinutý společně Microsoft aUniversity of Michigan výzkumných pracovníků, je akademický příklad virtuální stroje založené na přítomnost rootkitů (VMBR), [ 42 ] zatímco modrá Pill je jiný.
V roce 2009, výzkumníci z Microsoftu a North Carolina State Universityprokázala hypervisoru vrstvy Anti-Rootkit názvem Hooksafe, který poskytuje obecný ochranu proti režimu jádra rootkitů. [ 43 ]
Firmware Rootkit používá zařízení nebo platformu firmware pro vytvoření trvalé malware obraz v hardwaru, například síťové karty , [ 44 ] pevný disk , nebo systém BIOS . [ 24 ] V rootkit se skrývá v firmware, protože firmware není obvykle kontrolovány Kód integrity. John Heasmanovi prokázal životaschopnost firmwaru rootkity v obou ACPI firmware rutiny [ 45 ] a v PCI rozšiřující karty ROM. [ 46 ]
V říjnu 2008, před zločinci manipulováno s evropskými kreditní karty-čtení strojů byly instalovány. Zařízení zachyceny a předány údaje o kreditní kartě přes mobilní telefonní sítě. [ 47 ] V březnu 2009, výzkumníci Alfredo Ortega a Anibal Sacco zveřejněny podrobnosti o BIOS-úrovni rootkitu systému Windows, která byla schopna přežít disku výměnu a operační systém re-instalaci.[ 48 ] [ 49 ] [ 50 ] O několik měsíců později se zjistilo, že některé notebooky jsou prodávány s oprávněným rootkit, známý jako Computrace nebo LoJack pro notebooky , předinstalovaný v systému BIOS. To je Anti-Theft systém, který výzkumníci ukázali, lze se obrátil k nekalým účelům. [ 51 ]
Rootkity využívají různé techniky získat kontrolu systému, typ rootkit ovlivňuje volbu útoku. Nejběžnější technikou využívá bezpečnostní chyby k dosažení skryté oprávnění eskalaci . Další možností je použít trojského koně , klamání počítače uživatele do věřit rootkit je instalační program jako benigní, v tomto případě, sociální inženýrství přesvědčí uživatele, aby rootkit je prospěšný. [ 26 ]Instalace úkol je snazší, pokud zásada alespoň oprávnění se nepoužije, protože rootkit té nemusí explicitně požadovat zvýšené (správce úroveň) oprávnění. Ostatní třídy rootkity mohou být instalovány pouze někdo s fyzickým přístupem k cílovému systému.
Instalace škodlivých rootkitů je obchodní motivaci, s pay-per-instalace (PPI) metody kompenzace typické pro distribuci. [ 52 ] [ 53 ]
Po instalaci rootkit má aktivní opatření na zastřít svou přítomnost v hostitelském systému přes podvracení nebo daňových úniků standardních operačních systémů zabezpečení nástrojů a API používaných k diagnostice, skenování a monitorování. Rootkity dosáhnout změnou chování hlavních částí operačním systémem přes nakládací kódu do dalších procesů, instalace nebo modifikace ovladačů , nebo modulů jádra . Zmatku techniky zahrnují skrývání běžící procesy od systému monitorovacích mechanismů a skrývání systémových souborů a dalších konfiguračních dat. [ 54 ] To není neobvyklé pro rootkit vyřadit protokolování událostí kapacity operačního systému, ve snaze skrýt důkazy o útoku . Rootkity mohou teoreticky, rozvrátí veškeré operačního systému činnosti. [ 55 ] "dokonalé rootkit" může být myšlenka jak podobný "dokonalý zločin ": ten, který nikdo si uvědomuje došlo.
Rootkity také přijmout řadu opatření, aby bylo zajištěno jejich přežití proti odhalování a úklid antivirového softwaru kromě běžně instalaci do Ring 0 (kernel-mode), kde mají kompletní přístup k systému. Patří mezi něpolymorfismus , stealth techniky, regenerace, a blokovací anti-malware software. [ 56 ]
Základní problém detekce rootkitů, je to, že v případě, že operační systém byl převrácený, zejména s kernel-level rootkit, nemůže být důvěryhodný, abychom neoprávněné změny pro sebe nebo pro své komponenty. [ 55 ] Akce jako žádosti o seznam spuštěných procesů , nebo seznam souborů v adresáři, se nedá věřit chovat, jak se očekávalo. Jinými slovy, rootkit detektory, které pracují při provozu na infikovaných systémech jsou účinná pouze proti rootkitům, které mají nějakou vadu v jejich maskování, nebo že běh s nižšími uživatelském režimu privilegia než je detekční software v jádře. [ 26 ] Stejně jako u počítačových virů , detekce a eliminace rootkitů je neustálý boj mezi oběma stranami tohoto konfliktu. [ 55 ]
Detekce může mít řadu různých přístupů, včetně podpisů (např. antivirový software), kontrolu integrity (např. digitální podpisy ), rozdíl na bázi detekce (srovnání očekávaných vs skutečné výsledky), a chování detekce (např. sledování využití procesoru nebo síťový provoz ). Kernel-mode rootkitů, detekce je podstatně složitější, vyžaduje důkladnou kontrolu tabulky systémového volání se podívat na hákovité funkcí , kde malware může být podvracení chování systému, [ 57 ] stejně jako Forensic skenování paměti pro vzory, které ukazují skryté procesy .
Unix nabídky detekce rootkitů, která patří Zeppoo, [ 58 ] chkrootkit , rkhunter aOSSEC . Pro Windows, detekční nástroje patří Microsoft SysinternalsRootkitRevealer , [ 59 ] Avast! Antivirus , Sophos Anti-Rootkit, [ 60 ] F-Secure ,[ 61 ] Radix [ 62 ] , GMER [ 63 ] , a WindowsSCOPE . Jakékoliv rootkit detektory, které se ukáží jako účinné nakonec přispět k jejich vlastní neúčinnosti, as malware autoři přizpůsobit a otestovat svůj kód uniknout detekci a využívaných nástrojů. [ Poznámka 1 ]
Nejlepší a nejspolehlivější metoda pro operační systém na úrovni detekce rootkitů, která je vypnout počítač podezřelá z infekce, a pak zkontrolovat jehoskladování by zavedení z alternativního důvěryhodného média (např. záchrannéCD-ROM nebo USB flash disk ). [ 64 ] Tato metoda je efektivní, protože rootkit nemůže aktivně skrýt svou přítomnost, pokud není spuštěna.
Behaviorální přístup založený na detekci rootkitů pokouší odvodit přítomnost rootkitů tím, že hledá rootkit-jako chování. Například tím, že zkoumání systému mohou rozdíly v načasování a frekvenci volání API nebo v celkovém využití CPU přičíst rootkit. Metoda je komplexní a je omezován vysokým výskytemfalešných poplachů . Vadné rootkity může někdy zavést naprosto zřejmé změny v systému: Alureon . rootkit havaroval systémy Windows po aktualizace zabezpečení vystaven konstrukční chybu v kódu [ 65 ] [ 66 ]
Záznamy z paketu analyzátor , firewall nebo prevence narušení systému může předložit doklad o rootkit chování v síťovém prostředí. [ 23 ]
Antivirové produkty zřídka chytit všechny viry ve veřejných zkouškách (v závislosti na tom, co se používá, a do jaké míry), i když prodejci bezpečnostního softwaru začlenit detekce rootkitů, která do svých produktů. V případě rootkit pokus skrýt během antivirové kontroly, může stealth detektor všimnete, pokud rootkit pokusí dočasně uvolnit se ze systému, podpis detekce (nebo "otisky prstů") může ještě najít. Tento kombinovaný přístup nutí útočníkům provést protiútok mechanismy, nebo "retro" rutin, které se snaží ukončit antivirové programy. Podpis na bázi detekce metody mohou být účinné proti dobře zveřejněných rootkity, ale méně, tak i na speciálně vytvořených, zakázková kořenové rootkitů. [ 55 ]
Další metodou, která dokáže detekovat rootkity porovnává "důvěryhodné" surová data s "zkažené" obsahu vrácené prostřednictvím API . Například,binaries mohou přítomen na disku bude ve srovnání s jejich kopiemi v operační paměti (v některých operačních systémech, v paměti obraz by měl být stejný jako na obrazu disku), nebo výsledky se vrátil z souborového systému neboregistru systému Windows rozhraní API mohou být porovnány raw struktur na podkladových fyzických discích [ 55 ] [ 67 ] -nicméně, v případě prvně jmenovanou, lze některá platná rozdíly budou zavedeny mechanismy operačního systému, jako je paměť přemístění nebo vypodložení . Rozdíl na bázi detekce byl použit Russinovichem 's RootkitRevealer nástroj najít Sony DRM rootkit. [ 1 ]
Kryptografický hash funkce může být použita k výpočtu "otisk prstu", nebo digitální podpis , který může pomoci odhalit následné neoprávněné změny na disku kódu knihoven. [ 68 ] Nicméně, nefalšovaný systémy kontrolovat pouze, zda je kód byl změněn od vydání podle "vydavatel", subversion před do té doby není zjistitelná.Otisk musí být obnovena pokaždé, když jsou provedeny změny v systému: například, po instalaci aktualizace zabezpečení nebo siservice pack . Hash funkce vytvoříMessage Digest , relativně krátký kód vypočte z každého bitu v souboru pomocí algoritmu, který vytváří velké změny v Message Digest s ještě malými změnami do původního souboru. Přepočítáním a porovnání Message Digest z nainstalovaných souborů v pravidelných intervalech proti důvěryhodného seznamu otisků prstů, mohou změny v systému zjistit a monitorovat-tak dlouho, dokud se původní základní otisk vytvořen před malware byl přidán. Více sofistikované rootkity jsou schopny rozvrátit ověřovacího procesu předložením neupravená kopii souboru pro kontrolu, nebo tím, že změny pouze v paměti, nikoli na disku. Technika tedy může být účinná pouze proti nefalšovaný rootkity, například ty, které nahrazují Unix binárky jako " ls "maskovat přítomnost souboru.
Podobně, detekce firmware lze dosáhnout tím, že počítá kryptografickou hash firmware a srovnání s whitelistu očekávaných hodnot, nebo tím, že hodnotu hash do Trusted Platform Module (TPM) konfigurace registrů, které se později ve srovnání s whitelist na očekávané hodnoty. [ 69 ] kód, který provádí hash, porovnání, nebo rozšířit operace musí být také chráněny v této souvislosti, pojem z nezměnitelné kořene-of-důvěry si myslí, že úplně první kód pro měření bezpečnostní vlastnosti systému musí být sám být důvěryhodný, aby rootkit nebo bootkit neohrozí systém na jeho nejzákladnější úrovni. [ 70 ]
Vynucení kompletní výpis virtuální paměti bude zachycovat aktivní rootkit (nebokernel dump v případě režimu jádra rootkit), což umožňuje v režimu offline forenzní analýza provedena se debugger proti výsledného souboru výpisu, bez rootkit, která je schopna se přijmout veškerá opatření, aby zamaskovat sám.Tato technika je vysoce specializovaná, a mohou vyžadovat přístup k neveřejným zdrojovým kódem nebo ladění symboly . Výpisy paměti iniciované operačního systému nelze použít k detekci hypervisoru založené rootkit, který je schopen zachytit a rozvrátit nejnižší úrovni se pokusí přečíst paměti [ 4 ] , hardwarové zařízení, jako je ten, který provádí non-maskable přerušit , je nutné vypsat paměť v tomto scénáři. [ 71 ] [ 72 ]
Ruční odstranění rootkit je často příliš těžké pro typické uživatele počítače,[ 24 ] , ale řada bezpečnostních dodavatelů softwaru nabízí nástroje pro automatickou detekci a odstranění některých rootkitů, obvykle jako součástantivirového balíku . As 2005 , Microsoft měsíční Windows Malicious Software Removal Tool je schopen detekovat a odstranit některé třídy rootkitů. [ 73 ] [ 74 ]Některé antivirové skenery mohou obejít systému souborů rozhraní API, která jsou citlivá na manipulaci rootkit. Místo toho, oni přístup raw souborového systému konstrukce přímo, a použít tyto informace pro ověření výsledků ze systémové API, aby zjistila případné rozdíly, které mohou být způsobeny rootkit. [ poznámky 2 ] [ 75 ] [ 76 ] [ 77 ] [ 78 ]
Existují odborníci, kteří věří, že jediný spolehlivý způsob, jak je odstranit, je re-instalaci operačního systému z důvěryhodných médií. [ 79 ] [ 80 ] To je proto, že antivirový a odstranění škodlivého softwaru nástroje běží na nedůvěryhodné systému může být neúčinné proti dobře napsal kernel-mode rootkitů. Zavedení alternativní operační systém z důvěryhodných médií může dovolit infikovaný systém byl svazek připojen a potenciálně bezpečně vyčistit a důležitých dat ke kopírování off-nebo, alternativně, soudní provedena zkouška. [ 23 ] Lehké operační systémy, jako Windows PE , Windows Konzola pro zotavení ,Windows Recovery Environment , BartPE , nebo Živá distribucí mohou být použity pro tento účel, což byl systém vyčistit.
I když je znám typ a povaha rootkit, může použití opravy nepraktické, zatímco re-instalaci operačního systému a aplikací je bezpečnější, jednodušší a rychlejší. [ 79 ]
Jako hodně malware používané útočníky, mnoho rootkit implementací sdíleny a jsou snadno dostupné na internetu. To není neobvyklé, že vidí kompromitovaný systém, v němž sofistikované, veřejně dostupné rootkit skryje přítomnost obyčejných červů nebo útočných nástrojů zřejmě napsali nezkušené programátory. [ 23 ]
Většina rootkitů k dispozici na internetu vznikl jako zneužití nebo jako akademické "doklady o pojmu" prokázat různé metody schovává věci do počítačového systému a přijímání neoprávněnému použití něj.[ 81 ] [ pochybný ] Často není plně optimalizována pro tajnost, tyto rootkity někdy opustit nechtěný důkaz o jejich přítomnosti. I tak, když jsou tyto rootkity použity v útoku, jsou často účinné. Další rootkity s keylogging funkcemi, jako je GameGuard jsou nainstalovány jako součást on-line komerčních her. [ pochvalná zmínka potřebovaný ]
Systém kalení představuje jeden z prvních vrstev obrany proti rootkit, aby nedošlo k budou moci nainstalovat. [ 82 ] Použití bezpečnostní záplaty, kterou se provádí zásada minimálních oprávnění , snížení útoku a nainstalovali antivirový software jsou některé standardní bezpečnostní nejlepší postupy, které jsou účinné proti všem třídám malware. Jakmile tato opatření jsou v místě, je nutné rutinní monitorování. Ve většině případů se však, jediná obrana proti rootkit je přeformátovat pevný disk zcela odstranit všechny soubory. [ 83 ]
Nové zabezpečené boot specifikace jako Unified Extensible Firmware Interfacejsou v současné době určeny k řešení hrozbu bootkits.