موضوع مقاله : روت کيت (root kit ) چيست؟ :
شرح :
روتکيتها برنامههايي هستند که از نظر ساختار کاري بسيار شبيه Trojanها و Backdoorها هستند، ولي با اين تفاوت که شناسايي روتکيت بسيار مشکلتر از دربهاي پشتي است. زيرا روتکيتها جايگزين برنامههاي اجرايي مهم سيستم عامل شده و در گاهي مواقع جايگزين خود هسته ميشوند و به هکرها اين اجازه را ميدهند که از طريق درب پشتي و پنهان شدن در عمق سيستم عامل به آن نفوذ کنند.
روتکيتها معمولاً از سه قسمت تشکيل شدهاند: (Dropper) بخشي از ويروس است که خود حاوي آلودگي خاصي نيست اما وظيفهاش نصب کد آلوده بر روي دستگاه قرباني ميباشد، بارگذار (Loader) و خودِ روتکيت (rootkit).
انواع روت کيت
روت کيت سنتي: اين روت کيتها بعد از نصب فايلهاي سيستم عامل سيستم هدف را با فايلهاي خود جايگزين مي کنند مانند فايلهاي netstat، ls و … نمونههايي از روت کيت سنتي عبارتند از: Tronxit , Linux rootkit5
روت کيت کرنل: اين روت کيتها بعد از نصب، کرنل سيستم عامل سيستم هدف را با کرنل خود جابجا ميکنند. نمونههايي از روت کيت کرنل براي سيستم لينوکس Knrak و Adore، براي سيستم ويندوز Win-He4hook، Vanquish و …
تفاوت اساسي اين دو نوع روت کيت در اين است که در روت کيت سنتي، اگر ادمين با nmap سيستم خود را اسکن کند، پورت باز را ميفهمد و متوجه حضور روت کيت بر روي سيستم ميشود اما با روت کيت کرنل وقتي اسکن هم کند، چون کرنل سيستم عامل جدا شده، نميتواند متوجه حضور روت کيت روي سيستم شود.