نظرسنجی

شما از چه طریق با این سایت آشنا شدید؟






پر بيننده ترين مطالب

بالاتر از خطر

Rootkit چیست؟



تعداد بازدیدکنندگان 6732 بازدید نسخه چاپی

این كلمه از دو بخش تشكیل شده، root و kit. این ساده‌ترین راه معرفی و توضیح برای rootkit است. كلمه root از دنیای لینوكس و یونیكس وارد شده و مترادف administrator در سیستم‌عامل ویندوز است. Administrator یعنی كسی كه به سیستم‌عامل سطح دسترسی كاملی دارد یا در واقع صاحب اصلی آن سیستم‌عامل است. اگر یك خدمات دهنده (server) یونیكس هك شود و یك كاربر غیرمجاز بتواند به عنوان صاحب سیستم (root) فرمان صادر كند، گفته می‌شود كه سرور root شده است. در واقع كاربر غیر مجاز با سطح دسترسی كاربر اصلی سیستم (root) مدیریت سیستم را به دست گرفته است.


اما كلمه kit: به برنامه‌ای گفته می‌شود كه برای به دست آوردن سطح دسترسی صاحب سیستم (root / admin) سعی بر انجام پذیری عملیاتی را دارد كه فقط دسترسی به صاحب سیستم برایش رضایت‌بخش است تا بتواند فرامینی را اجرا كند.


علت استفاده از rootkit؟
Rootkit‌ها دو وظیفه اصلی دارند اول اینكه به صورت پنهانی وارد سیستم موردنظر بشوند. این روش ممكن است از طریق یك برنامه كه با اراده شما نصب شده اتفاق بیافتد و دوم اینكه پس از ورود خود را پنهان نگاه دارد، در واقع آنها با بهره‌گیری از تكنیك‌های مختلف خودشان را از نظرها پنهان می‌كنند و حتی در بسیاری موارد خود را رمزنگاری می‌كنند تا به هیچ عنوان شناخته نشوند. با توجه به این دو وظیفه نظر بسیاری از هكرها به استفاده از rootkit‌ها مثبت است. RootKit‌ها از نظر ساختار كاری بسیار شبیه  Trojan‌ها و Backdoor‌ها هستند با این تفاوت كه آنها اجازه دسترسی Root یا Administrator  را به ما نمی‌دهند و در واقع سیستم از كنترل ما خارج خواهد شد.


به مثال زیر توجه كنید:
معمولا تروجان‌ها فایلی را در داخل هسته سیستم مثل پوشه System32  اضافه می‌كنند و این فایل تمامی پسوردهای قربانی را Log كرده و برای هكر می‌فرستد و یا با باز كردن پورتی اجازه ورود هكر را از آن طریق به سیستم قربانی می‌دهد. ولی دسته اول از RootKit‌ها بجای اینكه فایلی در هسته سیستم قربانی اضافه كنند، سرویس‌ها و فایل‌های اصلی و مهم سیستم‌عامل قربانی را با یك نسخه تغییر یافته آن كه عملیاتی مخرب انجام می‌دهد جایگزین می‌كنند. در نتیجه آن فایل تغییر یافته برای سیستم‌عامل یك فایل ضروری است و به عنوان فایلی اضافه محسوب نمی‌شود، این عمل باعث دشواری تشخیص فایل آلوده از فایل اصلی خواهد شد. دسته دوم از rootkitها كاملا حرفه‌ای‌تر عمل می‌كنند و اقدام به اعمال تغییر در هسته اصلی سیستم‌عامل می‌كنند. در دسته دوم درصد شناسایی آنها بسیار كمتر از دسته اول است به نحوی كه قسمتی از سیستم‌عامل محسوب می‌شوند.


تولد و مرگ rootkit‌ها
آنها خودشان را تكثیر می‌كنند. كافیست كه با كلیك بر روی یك برنامه مخرب و آلوده rootkit یكی از آنها به سیستم شما وارد شود. آنها یكدیگر را به سیستم شما دعوت می‌كنند تا هر كدام قسمتی از سیستم‌عامل شما را مورد عنایت قرار دهند. البته روش تكثیر آنها با ویروس‌ها متفاوت است، ویروس‌ها سعی بر خرابكاری هر چه بیشتر در كوتاه‌ترین زمان را دارند اما rootkitها هوشمندانه و محدود، عملیات تخریب را انجام می‌دهند در واقع یكی از آنها راه را برای ورود دیگران هموار می‌سازد تا به كمك یكدیگر شما و سیستم شما را از صحنه روزگار حذف كنند چون در چنین شرایطی بهترین راه از بین بردن آنها فرمت هارددیسك و نصب مجدد سیستم‌عامل است، البته این بار با تفكری قوی‌تر. البته برای از بین بردن rootkitها روش‌های دیگری نیز وجود دارد، نرم‌افزارهایی جهت از بین بردن آنها نوشته شده است. توصیه می‌كنم با نصب antivirus و anti-spyware و بروزرسانی مكرر آنها در كنار آنها از نرم‌افزارهای زیر نیز استفاده كنید.

 

 F-Secure Blacklight
·http://www.f-secure.com/blacklight/ )
 RootkitRevealer
·http://technet.microsoft.com/en-us/sysinternals/bb897445.aspx )
·Windows Malicious Software Removal Tool
·http://www.microsoft.com/security/malwareremove/default.mspx )
·ProcessGuard
·http://diamondcs.com.au/processguard/index.php?page=download )
·Rootkit Hunter
·Linux and BSD) (http://www.rootkit.nl/projects/rootkit_hunter.html )

 


البته در صورت آلوده شدن سیستم به rootkit گمان مبرید كه با نصب یكی از این نرم‌افزارها از دست rootkit خلاص خواهید شد چون آنها مخفیانه و رمزگذاری شده عمل می‌كنند و حتی در پاره‌ای مواقع توسط چنین نرم‌افزارهایی قابل شناسایی نیستند. بسیاری از متخصصین بر این باورند كه با استفاده از نرم‌افزار BarPE كه از طریق CD بارگذاری می‌شود می‌توانند از شر rootkit‌های ویندوز رهایی یابند، اما باید گفت این اتفاق صد درصد نیست. همانگونه كه قبلا توصیه شد بهترین و مطمئن‌ترین راه فرمت هارددیسك است.Å