RootKit

[dark_soldier]

O que é um rootkit?
Um rootkit é um trojan que busca se esconder de softwares de segurança e do usuário utilizando diversas técnicas avançadas de programação.

Rootkits escondem a sua presença no sistema, escondendo suas chaves no registro (para que você não possa vê-las) e escondendo os seus processos no Gerenciador de Tarefas, além de retornar sempre erros de "arquivo inexistente" ao tentar acessar os arquivos do trojan.

Diversos trojans utilizam essas tecnologias com o objetivo de dificultar sua remoção e o fazem com sucesso: os rootkits mais avançados são bem difíceis de serem removidos.

Origem do nome rootkit
Os rootkits possuem esse nome por serem, inicialmente, "kits" de programas para a plataforma Linux/Unix para manter o acesso total ao sistema previamente comprometido, agindo como backdoor. Como "root" é o usuário com o controle total do computador nas plataformas Unix, originou-se o nome "rootkit" para denominar estes conjuntos de aplicativos.

Funcionamento
Os rootkits para Linux/Unix geralmente substituem os programas mais comuns, como os programas que listam arquivos, de modo que o administrador do sistema, ao listar os arquivos, não veja a presença dos arquivos do trojan.

No Windows, eles 'infectam' os processos na memória, de modo que toda vez que um processo requisite alguma informação sobre os arquivos do trojan, esta informação seja anulada antes de ser retornada ao programa, o que fará com que os softwares acreditem que estes arquivos não estejam lá.

O Hacker Defender é um dos rootkits mais avançados para Windows atualmente.

Por: Linhadefensiva

[Anonymous]

Heys! Bom tópico! Há um tempo atras tb tinha escrito algo sobre rootkits, erp que gostem eh que deem a vossa opiniao :D
Espero que gostem:

O que é um root kit?

Bem um root kit pode definir-se como um conjunto de ferramentas que têm como principal função e objectivo ocultar a presença de um invasor e permitir o controlo completo do sistema de forma não autorizada. Dando muitas vezes a sensação de segurança ao administrador do sistema.

A classificação dos root kits

Existem diversas classificações de root kits consoante a  sua geração e funcionalidades...
Logo temos:

-> Root Kits de 1º geração
   
   Foram as primeiras versões que existiram de root kits e, na verdade, não eram nada mais nada menos que programas do sistema alterados. Um exemplo disso é o programa ifconfig que nos sistemas Unix Like apresenta todas as interfaces de rede, sendo possivel verificar se estao em modo promiscuo... o modo promiscuo eh quando uma interface de rede captura todos os pacotes de dados do segmento de rede em que se encontra. Ou seja está a ser usado um sniffer na rede. E agora entra o root kit,  pois seria facil para um administrador saber se a sua interface de rede esta ou não em modo promiscuo bastando fazer ifconfig, entao o invasor vai instalar no sistema uma versão modificada do ifconfig, que retirava o modo promiscuo da interface de rede, dando assim uma falsa visão de segurança ao administrador e ocultando a presença de um sniffer na rede.
   Esta ideia começou a ser melhorada até chegar ao ponto de existirem backdoors, programas que alteram os logs...
   Mas (in)felizmente surgiram bases de dados que registavam quando havia alterações dos ficheiros do sistema, logo seria facil para um administrador saber quando o seu sistema estava ou não compremetido.

-> Root Kits de 2º geração

   Os rootkits, nesta geração, deixaram de lado a modificação de ficheiros de sistema e passaram a alteram os LKM (Linux Kernel Modules) atraves das system calls (funções de baixo nivel que o SO usa para determinadas acções, tais como criar um directorio).
Este tipo de root kits começaram então a alterar as system calls fazendo com que fossem ocultados processos, ficheiros e directorias do sistema, Podendo assim encobrir outros modulos que possuissem backdoors ou sniffers.
   Para combater este tipo de root kits vai se ter de trabalhar com o directorio /proc , que para quem não sabe é onde são gravadas as informações sobre o sistema. Neste directorio eh possivel saber quando e como foi executado um determinado processo, sendo assim possivel detectar a presença de um root kit. Se se retirar o suporte a carregamento de modulos do kernel do sistema os rootkits tornam-se inofensivos e ineficazes.

-> Root Kits de 3º geração

Este tipo de root kits não se irá servir do LKM (linux kernel modules, irá criar por si proprios tabelas de system calls, sendo assim virtualmente impossiveis de localizar. Uma solução para este tipo de rootkits é prever o /dev/kmem contra escrita, o kmem tem como objectivo traduzir a memoria virtual (swap) em memoria real. Estes rootkits irão alterar o /dev/kmem ocultando assim a sua presença.


Para se Proteger

Existem diversas tecnicas para se proteger deste tipo de ferramentas, tais como os sistemas IDS, que eh o caso do snort, instalar o LSM (linux security modules) que irá modificar alguns modulos do sistema tornando-los mais seguros contra ataques, como por exemplo proteger o /dev/kmem contra escrita.
Tambem se pode usar um programa de auditoria de ficheiros, o tripware.
   
Abraços,

[rog]

o metodo geral e de interceptar uma lista antes do process parente recuperar ela para ocultar algo

mas inicialemente um root kit era um conjunto de ferramente que dao indevidamente um accesso root a uma maquina

rog