Kernel mód

Kernel mód

Kernel-mode rootkity spustit s nejvyššími operačního systému oprávnění ( Ring 0 ) přidáním kódu nebo výměna části jádra operačního systému, včetně jak jádro a přidružené ovladače zařízení . Většina operační systémy podporují režimu jádra ovladače zařízení, které spouštět se stejnými oprávněními jako samotný operační systém. Jako takový, mnoho režimu jádra rootkity jsou vyvíjeny jako ovladače zařízení či modulech, jako je loadable moduly jádra v Linuxu nebo ovladače zařízení v systému Microsoft Windows . Tato třída rootkit má neomezený přístup bezpečnostní, ale je obtížnější psát. Složitost dělá chyby společné, a případné chyby v kódu pracující na úrovni jádra může vážně ovlivnit stabilitu systému, což vedlo k objevu rootkit. Jedním z prvních široce známých rootkitů jádra vyvinul pro systém Windows NT 4.0 a povolený v Phrack časopise v roce 1999 Greg Hoglund .

Jádra rootkitů může být obzvláště obtížné odhalit a odstranit, protože působí na stejné úrovni zabezpečení , jako samotný operační systém, a jsou tedy schopny zachytit nebo subvert Nejdůvěryhodnějším operačního systému operace. Jakýkoliv software, jako je například antivirový software , běžící na ohrožení systému je stejně zranitelný. V této situaci, žádná část systému se dá věřit.

Rootkit můžete upravit datových struktur v jádře Windows pomocí metody známou jako přímá jádra objektu manipulace (DKOM). Tento způsob může být použit pro skrytí procesů. Režim jádra rootkit lze také připojit na systémovou službu Descriptor Table (SSDT), nebo upravit brány mezi uživatelského režimu a režimu jádra, aby se plášť sám. Podobně pro Linux operační systém, může rootkit na upravit systémové volání stůl rozvracet funkčnost jádra. To je běžné, že rootkit vytváří skrytý, zašifrovaný souborový systém, ve kterém se může skrývat další malware nebo originální kopie souborů, to infikovaných.

Operační systémy se vyvíjejí v boji proti hrozbě z režimu jádra rootkity. Například, 64-bitové verze systému Microsoft Windows nyní zavést povinné podepsání všech řidičů na úrovni jádra, aby to více obtížný pro nedůvěryhodný kód k provedení s nejvyššími oprávněními v systému.