Název
Obrázek
Popis
User-mode rootkity spustit v Ring 3 , spolu s dalšími aplikacemi, jako uživatele, spíše než systémové procesy na nízké úrovni. Mají řadu možných instalačních vektorů zachytit a upravovat standardní chování rozhraní pro programování aplikací (API). Některé aplikovat dynamicky propojený knihovnu (například DLL soubor v systému Windows, nebo soubor .dylib na Mac OS X ) do dalších procesů, a jsou proto schopni realizovat v jakékoliv cílového procesu, aby jej Strašidlo; jiní s dostatečnými oprávněními jednoduše přepsat paměti cílové aplikace.
Kernel-mode rootkity spustit s nejvyššími operačního systému oprávnění ( Ring 0 ) přidáním kódu nebo výměna části jádra operačního systému, včetně jak jádro a přidružené ovladače zařízení . Většina operační systémy podporují režimu jádra ovladače zařízení, které spouštět se stejnými oprávněními jako samotný operační systém. Jako takový, mnoho režimu jádra rootkity jsou vyvíjeny jako ovladače zařízení či modulech, jako je loadable moduly jádra v Linuxu nebo ovladače zařízení v systému Microsoft Windows .
Kernel-mode rootkit varianta tzv bootkit může nakazit spouštěcí kód jako Master Boot Record (MBR), Volume Boot Record (VBR), nebo boot sektor , a tímto způsobem, mohou být použity k útoku na plné šifrování disku systémů. Příkladem je "zlo Maid útok", ve kterém útočník nainstaluje bootkit na bezobslužné počítače, nahradí legitimní zavaděč s jednou pod jeho kontrolou. Typicky malware nakladač přetrvává přes přechod na chráněném režimu , kdy jádro vložili, a je tak schopen rozvracet jádro.Například, "Stoned bootkit" podvrací systém použití ohrožena zavaděč zachytit šifrovací klíče a hesla.
Rootkity byly vytvořeny jako typ II hypervisory v akademickém jako důkazy konceptu. Využitím virtualizace hardwaru funkce, jako je například Intel VT nebo AMD-V , tento typ rootkit běží v Ring -1 a hostí cílový operační systém jako virtuální stroj , a tím umožní rootkit zachytit hardwarové volání ze strany původního operačního systému. Na rozdíl od běžných hypervisory, že oni nemají načíst před operačním systémem, ale můžete načíst do operačního systému, než podporovat ji do virtuálního stroje.
Firmware rootkit využívá zařízení nebo platformu firmware k vytvoření trvalé malware obraz v hardwaru, jako je například směrovač , síťové karty , na pevném disku , nebo systémový BIOS . Rootkit skrývá ve firmwaru, protože firmware není obvykle kontrolovány pro integritu kódu. John Heasman prokázal životaschopnost firmwaru rootkitů v obou ACPI rutiny firmware a v PCI rozšiřující karty ROM .