Typene Root Kits

November 8

En rootkit er mistenkelig programvare ikke fordi den angrep eller påfører skader på en datamaskin, men fordi det bygger seg dypt inn i datamaskinens operativsystem, noe som gjør det vanskelig å oppdage. Det skjuler seg i systemmapper og subtilt endrer registerinnstillingene for å gjøre det ser ut som en legitim fil. Det gjør ikke mye bortsett skjul og vente på en ekstern kommando fra en bruker eller et program for å aktivere den. Det er for tiden fire kjente typer rootkits.

vedvarende Rootkits

Vedvarende rootkits aktivere under omstart. Vanligvis skjuler en vedvarende rootkit i oppstart registret, som Windows laster hver gang datamaskinen startes på nytt. Det er vanskelig å oppdage fordi det etterligner handlingene til gyldige datafiler, og det utfører uten brukermedvirkning. Virus og annen skadelig programvare kan piggyback på en vedvarende rootkit fordi, bortsett fra å være vanskelig å finne, det går ikke bort når en datamaskinen slås av.

Minnebasert Rootkits

I motsetning til vedvarende rootkits, er en minnebasert rootkit deaktiveres når en datamaskin starter på nytt. Minnebasert rootkits legge seg i datamaskinens RAM (Random Access Memory). RAM er midlertidig plass at programmer som Microsoft Word, Excel, Outlook og nettlesere okkupere når disse programmene er åpne. Når du åpner et program, datamaskinen tildeler en plass i RAM. Når du lukker programmet, utgivelser datamaskinen som adresserommet for andre programmer å bruke. Minnet baserte rootkit gjør det samme. Det opptar en adresse plass i RAM. Når en datamaskin avsluttes, er alle programmer lukket, som tømmer minneplasser, inkludert rootkit.

User-mode Rootkits

En bruker-modus rootkit infiltrerer operativsystemet enda dypere. Den lagrer seg i skjulte systemmapper og registret og utfører de oppgavene som er gjort av gyldige systemfiler. En måte det omgår oppdagelse er at det fanger opp programvaren som ellers kunne oppdage det. Det brukermodus rootkit kan legge seg på et program som skanner for virus. Når programmet kjøres, rootkit fanger handlingen som om det er den som gjør skanning. I stedet for programmet returnere en deteksjons, returnerer det ingenting.

Kernel-mode Rootkits

En kernel-modus rootkit er enda farligere enn en brukermodus rootkit. User-mode rootkits snappe gyldig programvare for å returnere et annet resultat, men de fortsatt kjøre prosesser som kan oppdages. En kernel-modus rootkit skjuler seg ved å fjerne de prosesser knyttet til det. Dette gjør deteksjon vanskeligere, fordi det er som om kernel-modus rootkit ikke eksisterer. Det vil ikke dukke opp i Task Manager eller annen programvare som viser alle prosesser som kjører på datamaskinen. Påvisning av kernel-modus rootkits innebærer en sofistikert teknikk for å finne avvik mellom systemregisteret.