В чем заключается принцип работы руткитов и как их обнаружить?

Принцип работы руткита заключается в том, что он позволяет злоумышленнику закрепиться во взломанной системе и скрыть следы своей деятельности. ru.wikipedia.org Руткит маскирует вредоносные программы под стандартные системные утилиты, собирает информацию о системе и управляет процессами в ней. {6-host}

В операционных системах Windows руткиты могут работать двумя способами: {6-host}

1. Захват таблиц вызовов. {6-host} Руткит изменяет таблицу и перенаправляет вызовы системных функций на нужные ему адреса. {6-host} В результате перехваченная процедура может обойти антивирус или заменить исходную функцию. {6-host}
2. Модификация кода функции. {6-host} Первые несколько байт вызываемой функции заменяются на вредоносный код. {6-host}

Обнаружить руткит на компьютере непросто, поскольку этот вид вредоносных программ специально разработан так, чтобы оставаться скрытым. www.kaspersky.ru www.sberbank.ru Руткиты также могут отключать программы безопасности, что ещё сильнее усложняет их обнаружение. www.kaspersky.ru

Некоторые методы обнаружения руткитов:

• Использование специализированных антивирусных программ. skyeng.ru Они могут обнаружить изменения в системе, вызванные действием руткита. skyeng.ru
• Ручное исследование системы. skyeng.ru Включает проверку ключевых системных файлов на предмет изменений, а также анализ активности процессов в системе. skyeng.ru
• Анализ сетевого трафика. skyeng.ru Позволяет выявить подозрительную активность, которая может быть связана с работой руткита. skyeng.ru
• Поведенческий анализ. www.kaspersky.ru Вместо поиска самого руткита выполняется анализ и поиск поведения, характерного для руткита. www.kaspersky.ru

Для своевременного обнаружения и устранения руткитов в системных файлах пользователя используют специальные утилиты — антируткиты или резидентные модули. {8-host}