Uživatelský mód

Počítačová bezpečnost kroužky

User-mode rootkity spustit v Ring 3 , spolu s dalšími aplikacemi, jako uživatele, spíše než systémové procesy na nízké úrovni. Mají řadu možných instalačních vektorů zachytit a upravovat standardní chování rozhraní pro programování aplikací (API). Některé aplikovat dynamicky propojený knihovnu (například DLL soubor v systému Windows, nebo soubor .dylib na Mac OS X ) do dalších procesů, a jsou proto schopni realizovat v jakékoliv cílového procesu, aby jej Strašidlo; jiní s dostatečnými oprávněními jednoduše přepsat paměti cílové aplikace. Vstřikovací mechanismy zahrnují:

Použití od dodavatele rozšíření aplikací. Například, Průzkumník Windows má veřejná rozhraní, které umožňují třetím stranám rozšířit jeho funkčnost.
Zachycování zpráv .
Debuggers .
Využití bezpečnostních zranitelností .
Funkce hákování nebo záplatování běžně používaných API, například, aby skrýt běžící proces nebo soubor, který je umístěn na souborovém systému.
... Protože aplikace uživatelském režimu vše spustit ve vlastním paměťovém prostoru, rootkit potřebuje provést tuto patchování v paměťovém prostoru každé spuštěné aplikace. Kromě toho, rootkit potřebuje sledovat systém pro případných nových aplikací, které provádějí, a patch paměť těchto programů ", než se plně realizovat.

-Windows Rootkit Přehled, Symantec