В чем заключается принцип работы руткитов и как их обнаружить?
Принцип работы руткита заключается в том, что он позволяет злоумышленнику закрепиться во взломанной системе и скрыть следы своей деятельности. 1 Руткит маскирует вредоносные программы под стандартные системные утилиты, собирает информацию о системе и управляет процессами в ней. 6
В операционных системах Windows руткиты могут работать двумя способами: 6
- Захват таблиц вызовов. 6 Руткит изменяет таблицу и перенаправляет вызовы системных функций на нужные ему адреса. 6 В результате перехваченная процедура может обойти антивирус или заменить исходную функцию. 6
- Модификация кода функции. 6 Первые несколько байт вызываемой функции заменяются на вредоносный код. 6
Обнаружить руткит на компьютере непросто, поскольку этот вид вредоносных программ специально разработан так, чтобы оставаться скрытым. 24 Руткиты также могут отключать программы безопасности, что ещё сильнее усложняет их обнаружение. 2
Некоторые методы обнаружения руткитов:
- Использование специализированных антивирусных программ. 5 Они могут обнаружить изменения в системе, вызванные действием руткита. 5
- Ручное исследование системы. 5 Включает проверку ключевых системных файлов на предмет изменений, а также анализ активности процессов в системе. 5
- Анализ сетевого трафика. 5 Позволяет выявить подозрительную активность, которая может быть связана с работой руткита. 5
- Поведенческий анализ. 2 Вместо поиска самого руткита выполняется анализ и поиск поведения, характерного для руткита. 2
Для своевременного обнаружения и устранения руткитов в системных файлах пользователя используют специальные утилиты — антируткиты или резидентные модули. 8
