Uživatelský mód
Počítačová bezpečnost kroužky
User-mode rootkity spustit v Ring 3 , spolu s dalšími aplikacemi, jako
uživatele, spíše než systémové procesy na nízké úrovni. Mají řadu možných
instalačních vektorů zachytit a upravovat standardní chování rozhraní pro
programování aplikací (API). Některé aplikovat dynamicky propojený knihovnu
(například DLL soubor v systému Windows, nebo soubor .dylib na Mac OS X ) do
dalších procesů, a jsou proto schopni realizovat v jakékoliv cílového procesu,
aby jej Strašidlo; jiní s dostatečnými oprávněními jednoduše přepsat paměti
cílové aplikace. Vstřikovací mechanismy zahrnují:
Použití od dodavatele rozšíření aplikací. Například, Průzkumník Windows má
veřejná rozhraní, které umožňují třetím stranám rozšířit jeho funkčnost.
Zachycování zpráv .
Debuggers .
Využití bezpečnostních zranitelností .
Funkce hákování nebo záplatování běžně používaných API, například, aby skrýt
běžící proces nebo soubor, který je umístěn na souborovém systému.
...
Protože aplikace uživatelském režimu vše spustit ve vlastním paměťovém prostoru,
rootkit potřebuje provést tuto patchování v paměťovém prostoru každé spuštěné
aplikace. Kromě toho, rootkit potřebuje sledovat systém pro případných nových
aplikací, které provádějí, a patch paměť těchto programů ", než se plně
realizovat.
-Windows Rootkit Přehled, Symantec