Руткит

Программное обеспечение, предназначенное для обеспечения доступа к несанкционированным местам на компьютере.

Руткит — это совокупность компьютерного программного обеспечения , обычно вредоносного, предназначенного для обеспечения доступа к компьютеру или области его программного обеспечения , которая иначе не разрешена (например, неавторизованному пользователю) и часто маскирующая его существование или существование другого программного обеспечения. . ^[1] Термин «руткит» представляет собой смесь слова « root » (традиционное имя привилегированной учетной записи в Unix-подобных операционных системах) и слова «kit» (которое относится к программным компонентам, реализующим инструмент). ^[2] Термин «руткит» имеет негативный оттенок из-за ассоциации с вредоносным ПО . ^[1]

Установка руткита может быть автоматизирована, либо злоумышленник может установить его после получения доступа root или администратора. ^[3] Получение этого доступа является результатом прямой атаки на систему, т.е. использования уязвимости (например, повышения привилегий ) или пароля (полученного путем взлома или тактики социальной инженерии, такой как « фишинг »). После установки становится возможным скрыть вторжение, а также сохранить привилегированный доступ. Полный контроль над системой означает, что существующее программное обеспечение может быть изменено, включая программное обеспечение, которое в противном случае могло бы использоваться для его обнаружения или обхода.

Обнаружение руткитов затруднено, поскольку руткит может вывести из строя программное обеспечение, предназначенное для его обнаружения. Методы обнаружения включают использование альтернативной и доверенной операционной системы , поведенческие методы, сканирование сигнатур, сканирование различий и анализ дампа памяти . Удаление может быть сложным или практически невозможным, особенно в тех случаях, когда руткит находится в ядре ; переустановка операционной системы может оказаться единственным доступным решением проблемы. При работе с руткитами прошивки для удаления может потребоваться замена оборудования или специального оборудования.

История

Термин «руткит» или «руткит» первоначально относился к злонамеренно модифицированному набору административных инструментов для Unix-подобной операционной системы , предоставляющему « корневой » доступ. ^[4] Если злоумышленник сможет заменить стандартные инструменты администрирования в системе руткитом, он сможет получить root-доступ к системе, одновременно скрывая эти действия от законного системного администратора . Эти руткиты первого поколения было легко обнаружить с помощью таких инструментов, как Tripwire , которые не были скомпрометированы для доступа к той же информации. ^{[5] [6]} Лейн Дэвис и Стивен Дэйк написали самый ранний известный руткит в 1990 году для операционной системы SunOS UNIX компании Sun Microsystems . ^[7] В лекции, которую он прочитал после получения премии Тьюринга в 1983 году, Кен Томпсон из Bell Labs , один из создателей Unix , выдвинул теорию о подрыве компилятора C в дистрибутиве Unix и обсудил этот эксплойт. Модифицированный компилятор обнаружит попытки скомпилировать команду Unix и сгенерирует измененный код, который будет принимать не только правильный пароль пользователя, но и дополнительный пароль « черного входа », известный злоумышленнику. Кроме того, компилятор обнаружит попытки скомпилировать новую версию компилятора и вставит в новый компилятор те же самые эксплойты. Проверка исходного кода команды или обновленного компилятора не выявила вредоносного кода. ^[8] Этот эксплойт был эквивалентен руткиту.loginlogin

Первый задокументированный компьютерный вирус , нацеленный на персональный компьютер , обнаруженный в 1986 году, использовал методы маскировки , чтобы скрыть себя: вирус Brain перехватывал попытки чтения загрузочного сектора и перенаправлял их в другое место на диске, где находилась копия исходного загрузочного сектора. хранился. ^[1] Со временем методы маскировки DOS -вирусов стали более изощренными. Передовые методы включали перехват вызовов низкоуровневых дисковых прерываний INT 13H BIOS для сокрытия несанкционированных изменений файлов. ^[1]

Первый вредоносный руткит для операционной системы Windows NT появился в 1999 году: троян NRTRootkit , созданный Грегом Хоглундом . ^[9] За ним последовал HackerDefender в 2003 году. ^[1] Первый руткит, нацеленный на Mac OS X, появился в 2009 году, ^[10] тогда как червь Stuxnet был первым, нацеленным на программируемые логические контроллеры (ПЛК). ^[11]

Скандал с руткитом защиты от копирования Sony BMG

Снимок экрана RootkitRevealer , показывающий файлы, скрытые руткитом расширенной защиты от копирования.

В 2005 году Sony BMG выпустила компакт-диски с программным обеспечением для защиты от копирования и управления цифровыми правами под названием Extended Copy Protection , созданным компанией-разработчиком программного обеспечения First 4 Internet. Программное обеспечение включало музыкальный проигрыватель, но автоматически устанавливало руткит, ограничивавший возможность пользователя получить доступ к компакт-диску. ^[12] Инженер-программист Марк Руссинович , создавший средство обнаружения руткитов RootkitRevealer , обнаружил руткит на одном из своих компьютеров. ^[1] Последовавший за этим скандал повысил осведомленность общественности о руткитах. ^[13] Чтобы скрыть себя, руткит скрывал от пользователя любой файл, начинающийся с «$sys$». Вскоре после доклада Руссиновича появилось вредоносное ПО, воспользовавшееся существующим руткитом на пораженных системах. ^[1] Один аналитик BBC назвал это « кошмаром в сфере связей с общественностью ». ^[14] Sony BMG выпустила патчи для удаления руткита, но они подвергли пользователей еще более серьезной уязвимости. ^[15] В конце концов компания отозвала компакт-диски. В США против Sony BMG был подан коллективный иск . ^[16]

Дело о прослушивании телефонных разговоров в Греции, 2004–2005 гг.

Дело о прослушивании телефонных разговоров в Греции в 2004–2005 годах , также известное как «Греческий Уотергейт», ^[17] касалось незаконного прослушивания более 100  мобильных телефонов в сети Vodafone Греция , принадлежащих в основном членам греческого правительства и высокопоставленным государственным служащим. Прослушивание началось где-то в начале августа 2004 г. и было прекращено в марте 2005 г., так и не установив личности преступников. Злоумышленники установили руткит, нацеленный на телефонную станцию ​​AX компании Ericsson . По данным IEEE Spectrum , это был «первый раз, когда руткит был обнаружен в системе специального назначения, в данном случае в телефонном коммутаторе Ericsson». ^[18] Руткит был разработан для исправления памяти биржи во время ее работы, включения прослушивания телефонных разговоров при отключении журналов аудита, исправления команд, перечисляющих активные процессы и активные блоки данных, а также изменения команды проверки контрольной суммы блоков данных . «Черный ход» позволял оператору со статусом системного администратора деактивировать журнал транзакций биржи, сигналы тревоги и команды доступа, связанные с возможностью наблюдения. ^[18] Руткит был обнаружен после того, как злоумышленники установили ошибочное обновление, из-за которого SMS- сообщения не доставлялись, что приводило к созданию автоматического отчета об ошибке. Инженеры Ericsson были вызваны для расследования неисправности и обнаружили скрытые блоки данных, содержащие список отслеживаемых телефонных номеров, а также руткит и незаконное программное обеспечение для мониторинга.

Использование

Современные руткиты не повышают уровень доступа ^[4] , а скорее используются для того, чтобы сделать полезную нагрузку другого программного обеспечения необнаружимой путем добавления скрытых возможностей. ^[9] Большинство руткитов классифицируются как вредоносные программы , поскольку полезные данные, с которыми они связаны, являются вредоносными. Например, полезная нагрузка может тайно украсть пароли пользователей , информацию о кредитных картах , вычислительные ресурсы или выполнить другие несанкционированные действия. Небольшое количество руткитов пользователи могут рассматривать как служебные приложения: например, руткит может скрывать драйвер эмуляции компакт-диска , позволяя пользователям видеоигр обойти меры по борьбе с пиратством , требующие вставки исходного установочного носителя в физический диск. оптический привод, чтобы убедиться, что программное обеспечение было приобретено законно.

Руткиты и их полезные данные имеют множество применений:

• Предоставьте злоумышленнику полный доступ через бэкдор , разрешающий несанкционированный доступ, например, для кражи или подделки документов. Один из способов добиться этого — разрушить механизм входа в систему, такой как программа /bin/login в Unix-подобных системах или GINA в Windows. Похоже, что замена работает нормально, но также принимает секретную комбинацию входа, которая позволяет злоумышленнику получить прямой доступ к системе с административными привилегиями, минуя стандартные механизмы аутентификации и авторизации .
• Скрывайте другие вредоносные программы , в частности программы для перехвата паролей и компьютерные вирусы . ^[19]
• Присвойте скомпрометированную машину как компьютер-зомби для атак на другие компьютеры. (Атака исходит из скомпрометированной системы или сети, а не из системы злоумышленника.) Компьютеры-зомби обычно являются членами крупных ботнетов , которые, помимо прочего, могут запускать атаки типа «отказ в обслуживании» , распространять спам по электронной почте и совершать клики. мошенничество . ^[20]

В некоторых случаях руткиты обеспечивают желаемую функциональность и могут быть установлены намеренно от имени пользователя компьютера:

• Обнаруживать атаки, например, в Honeypot . ^[21]
• Улучшите программное обеспечение эмуляции и программное обеспечение безопасности. ^[22] Alcohol 120% и Daemon Tools являются коммерческими примерами невраждебных руткитов, используемых для обхода механизмов защиты от копирования, таких как SafeDisc и SecuROM . ^[23] Антивирусное программное обеспечение Касперского также использует методы, напоминающие руткиты, для защиты от вредоносных действий. Он загружает собственные драйверы для перехвата активности системы, а затем не дает другим процессам причинить себе вред. Его процессы не скрыты, но не могут быть завершены стандартными методами.
• Защита от кражи: ноутбуки могут быть оснащены программным обеспечением-руткитом на базе BIOS, которое будет периодически сообщать центральному органу, позволяя отслеживать, отключать или стирать информацию о ноутбуке в случае его кражи. ^[24]
• Обход активации продукта Microsoft ^[25]

Типы

Существует как минимум пять типов руткитов: от руткитов самого низкого уровня прошивки (с самыми высокими привилегиями) до вариантов с наименьшими привилегиями для пользователей, которые работают в Ring 3 . Могут встречаться гибридные комбинации, охватывающие, например, пользовательский режим и режим ядра. ^[26]

Пользовательский режим

Кольца компьютерной безопасности (обратите внимание, что кольцо -1 не показано)

Руткиты пользовательского режима запускаются в Ring 3 вместе с другими приложениями как пользовательские, а не как низкоуровневые системные процессы. ^[27] У них есть ряд возможных векторов установки для перехвата и изменения стандартного поведения интерфейсов прикладного программирования (API). Некоторые внедряют динамически подключаемую библиотеку (например, файл .DLL в Windows или файл .dylib в Mac OS X ) в другие процессы и, таким образом, могут выполняться внутри любого целевого процесса, чтобы подделать его; другие, обладающие достаточными привилегиями, просто перезаписывают память целевого приложения. Механизмы инъекции включают: ^[27]

• Использование расширений приложений, поставляемых поставщиком. Например, Windows Explorer имеет общедоступные интерфейсы, которые позволяют третьим лицам расширять его функциональность.
• Перехват сообщений .
• Отладчики .
• Эксплуатация уязвимостей безопасности .
• Перехват функций или исправление часто используемых API, например, чтобы скрыть запущенный процесс или файл, расположенный в файловой системе. ^[28]

...поскольку все приложения пользовательского режима работают в своем собственном пространстве памяти, руткиту необходимо выполнять исправления в пространстве памяти каждого работающего приложения. Кроме того, руткиту необходимо отслеживать в системе любые новые приложения, которые выполняются, и вносить исправления в память этих программ до их полного выполнения.

-  Обзор руткитов Windows, Symantec ^[4]

Режим ядра

Руткиты режима ядра запускаются с наивысшими привилегиями операционной системы ( Ring 0 ) путем добавления кода или замены частей основной операционной системы, включая ядро ​​и связанные с ним драйверы устройств . ^{[ нужна цитация ]} Большинство операционных систем поддерживают драйверы устройств режима ядра, которые выполняются с теми же привилегиями, что и сама операционная система. Таким образом, многие руткиты режима ядра разрабатываются в виде драйверов устройств или загружаемых модулей, например загружаемых модулей ядра в Linux или драйверов устройств в Microsoft Windows . Этот класс руткитов имеет неограниченный безопасный доступ, но его сложнее писать. ^[29] Сложность делает ошибки распространенными, и любые ошибки в коде, работающем на уровне ядра, могут серьезно повлиять на стабильность системы, что приведет к обнаружению руткита. ^[29] Один из первых широко известных руткитов ядра был разработан для Windows NT 4.0 и опубликован в журнале Phrack в 1999 году Грегом Хоглундом . ^{[30] [31]} Руткиты ядра особенно сложно обнаружить и удалить, поскольку они работают на том же уровне безопасности , что и сама операционная система, и, таким образом, способны перехватывать или подрывать наиболее доверенные операции операционной системы. Любое программное обеспечение, например антивирусное программное обеспечение , работающее в скомпрометированной системе, одинаково уязвимо. ^[32] В этой ситуации ни одной части системы нельзя доверять.

Руткит может изменять структуры данных в ядре Windows, используя метод, известный как прямая манипуляция объектами ядра (DKOM). ^[33] Этот метод можно использовать для сокрытия процессов. Руткит режима ядра также может перехватить таблицу дескрипторов системных служб (SSDT) ​​или изменить шлюзы между пользовательским режимом и режимом ядра, чтобы скрыть себя. ^[4] Аналогично операционной системе Linux руткит может изменить таблицу системных вызовов , чтобы подорвать функциональность ядра. ^{[34] [35]} Обычно руткит создает скрытую зашифрованную файловую систему, в которой он может скрывать другие вредоносные программы или оригинальные копии зараженных им файлов. ^[36] Операционные системы развиваются, чтобы противостоять угрозе руткитов режима ядра. Например, 64-разрядные версии Microsoft Windows теперь реализуют обязательное подписание всех драйверов уровня ядра, чтобы затруднить выполнение ненадежного кода с самыми высокими привилегиями в системе. ^[37]

Буткиты

Вариант руткита режима ядра, называемый буткитом , может заражать код запуска, такой как основная загрузочная запись (MBR), загрузочная запись тома (VBR) или загрузочный сектор , и таким образом может использоваться для атаки на системы полного шифрования диска . ^[38] Примером такой атаки на шифрование диска является « атака злой горничной », при которой злоумышленник устанавливает буткит на оставленный без присмотра компьютер. Предполагаемый сценарий: горничная пробирается в номер отеля, где жертвы оставили свое оборудование. ^[39] Буткит заменяет законный загрузчик другим, находящимся под их контролем. Обычно загрузчик вредоносного ПО сохраняется при переходе в защищенный режим после загрузки ядра и, таким образом, может разрушить ядро. ^{[40] [41] [42]} Например, «Stoned Bootkit» подрывает систему, используя взломанный загрузчик для перехвата ключей шифрования и паролей. ^{[43] [ собственный источник? ]} В 2010 году руткит Alureon успешно нарушил требование о подписании 64-битного драйвера режима ядра в Windows 7 , изменив главную загрузочную запись . ^[44] Некоторые программы «Vista Loader» или «Windows Loader», хотя и не являются вредоносными программами в смысле выполнения чего-то, чего пользователь не хочет, работают аналогичным образом, внедряя таблицу ACPI SLIC (внутренний код, лицензированный системой) в ОЗУ. -кэшированная версия BIOS во время загрузки, чтобы обойти процесс активации Windows Vista и Windows 7 . ^{[ нужна цитация ]} Этот вектор атаки оказался бесполезным в (несерверных) версиях Windows 8 , которые используют уникальный, машинный ключ для каждой системы, который может использоваться только этим одним компьютером. ^[45] Многие антивирусные компании предоставляют бесплатные утилиты и программы для удаления буткитов.

Уровень гипервизора

Руткиты были созданы как гипервизоры типа II в научных кругах в качестве доказательства концепции. Используя функции аппаратной виртуализации, такие как Intel VT или AMD-V , этот тип руткита запускается в Ring-1 и размещает целевую операционную систему в качестве виртуальной машины , тем самым позволяя руткиту перехватывать аппаратные вызовы, выполняемые исходной операционной системой. ^[6] В отличие от обычных гипервизоров, они не должны загружаться перед операционной системой, но могут загружаться в операционную систему перед ее преобразованием в виртуальную машину. ^[6] Руткит гипервизора не должен вносить какие-либо изменения в ядро ​​целевой системы, чтобы подорвать ее; однако это не означает, что гостевая операционная система не может его обнаружить. Например, различия во времени могут быть обнаружены в инструкциях ЦП . ^[6] Лабораторный руткит «SubVirt», разработанный совместно исследователями Microsoft и Мичиганского университета , является академическим примером руткита на базе виртуальных машин (VMBR), ^[46] а программное обеспечение Blue Pill — еще один пример. В 2009 году исследователи из Microsoft и Университета штата Северная Каролина продемонстрировали антируткит уровня гипервизора под названием Hooksafe , который обеспечивает общую защиту от руткитов режима ядра. ^[47] В Windows 10 появилась новая функция под названием «Device Guard», которая использует преимущества виртуализации для обеспечения независимой внешней защиты операционной системы от вредоносных программ типа руткитов. ^[48]

Прошивка и оборудование

Руткит встроенного ПО использует встроенное ПО устройства или платформы для создания постоянного образа вредоносного ПО в оборудовании, таком как маршрутизатор , сетевая карта , ^[49] жесткий диск или системный BIOS . ^{[27] [50]} Руткит скрывается в прошивке, поскольку целостность кода прошивки обычно не проверяется . Джон Хисман продемонстрировал жизнеспособность руткитов прошивки как в процедурах прошивки ACPI ^[51] , так и в ПЗУ карты расширения PCI . ^[52] В октябре 2008 года преступники взломали европейские машины для считывания кредитных карт до того, как они были установлены. Устройства перехватывали и передавали данные кредитной карты через сеть мобильной связи. ^[53] В марте 2009 года исследователи Альфредо Ортега и Анибал Сакко опубликовали подробную информацию о рутките Windows на уровне BIOS , который смог пережить замену диска и переустановку операционной системы. ^{[54] [55] [56]} Несколько месяцев спустя они узнали, что некоторые ноутбуки продаются с легальным руткитом, известным как Absolute CompuTrace или Absolute LoJack для ноутбуков , предустановленным во многих образах BIOS. Это технологическая система защиты от краж , которую, как показали исследователи, можно использовать в злонамеренных целях. ^[24]

Технология Intel Active Management , входящая в состав Intel vPro , реализует внешнее управление , предоставляя администраторам возможность удаленного администрирования , удаленного управления и удаленного контроля ПК без участия хост-процессора или BIOS, даже когда система выключена. Удаленное администрирование включает удаленное включение и выключение питания, удаленный сброс, перенаправленную загрузку, перенаправление консоли, предзагрузочный доступ к настройкам BIOS, программируемую фильтрацию входящего и исходящего сетевого трафика, проверку присутствия агента, внеполосное управление на основе политик. оповещения, доступ к системной информации, такой как информация об аппаратных ресурсах, постоянные журналы событий и другая информация, которая хранится в выделенной памяти (не на жестком диске), где она доступна, даже если операционная система не работает или компьютер выключен. Некоторые из этих функций требуют руткита самого глубокого уровня — второго несъемного шпионского компьютера, построенного вокруг основного компьютера. Sandy Bridge и будущие чипсеты имеют «возможность удаленно отключать и восстанавливать потерянный или украденный компьютер через 3G». Аппаратные руткиты, встроенные в набор микросхем , могут помочь восстановить украденные компьютеры, удалить данные или сделать их бесполезными, но они также создают проблемы конфиденциальности и безопасности, связанные с необнаружимым шпионажем и перенаправлением со стороны руководства или хакеров, которые могут получить контроль.

Установка и клоакинг

Руткиты используют различные методы для получения контроля над системой; тип руткита влияет на выбор вектора атаки. Самый распространенный метод использует уязвимости безопасности для тайного повышения привилегий . Другой подход заключается в использовании троянского коня , который обманом заставляет пользователя компьютера поверить в безвредность программы установки руткита — в этом случае социальная инженерия убеждает пользователя в том, что руткит полезен. ^[29] Задача установки упрощается, если не применяется принцип наименьших привилегий , поскольку в этом случае руткиту не нужно явно запрашивать повышенные привилегии (уровня администратора). Другие классы руткитов могут быть установлены только лицом, имеющим физический доступ к целевой системе. Некоторые руткиты также могут быть установлены намеренно владельцем системы или кем-то, уполномоченным владельцем, например, в целях мониторинга сотрудников , что делает такие подрывные методы ненужными. ^[57] Некоторые вредоносные установки руткитов имеют коммерческий характер и используют метод компенсации за установку (PPI), типичный для распространения. ^{[58] [59]}

После установки руткит принимает активные меры для сокрытия своего присутствия в хост-системе путем подрыва или обхода стандартных инструментов безопасности операционной системы и интерфейса прикладного программирования (API), используемых для диагностики, сканирования и мониторинга. ^[60] Руткиты достигают этого путем изменения поведения основных частей операционной системы посредством загрузки кода в другие процессы, установки или модификации драйверов или модулей ядра . Методы запутывания включают сокрытие запущенных процессов от механизмов мониторинга системы, а также сокрытие системных файлов и других данных конфигурации. ^[61] Руткиты нередко отключают возможность регистрации событий операционной системы в попытке скрыть доказательства атаки. Теоретически руткиты могут подорвать любую деятельность операционной системы. ^[62] «Идеальный руткит» можно рассматривать как аналог « идеального преступления »: совершения которого никто не осознает. Руткиты также принимают ряд мер для обеспечения своей выживаемости против обнаружения и «очистки» антивирусным программным обеспечением в дополнение к обычной установке в кольцо 0 (режим ядра), где они имеют полный доступ к системе. К ним относятся полиморфизм (изменение так, что их «подпись» трудно обнаружить), методы скрытности, регенерация, отключение или отключение антивирусного программного обеспечения ^[63] и отказ от установки на виртуальные машины , где исследователям может быть легче обнаружить и проанализировать их.

Обнаружение

Фундаментальная проблема с обнаружением руткитов заключается в том, что если операционная система была повреждена, особенно руткитом уровня ядра, ей нельзя доверять в обнаружении несанкционированных модификаций самой себя или своих компонентов. ^[62] Нельзя гарантировать, что такие действия, как запрос списка запущенных процессов или списка файлов в каталоге, будут вести себя должным образом. Другими словами, детекторы руткитов, работающие во время работы в зараженных системах, эффективны только против руткитов, которые имеют некоторые дефекты маскировки или которые работают с более низкими привилегиями пользовательского режима, чем программное обеспечение для обнаружения в ядре. ^[29] Как и в случае с компьютерными вирусами , обнаружение и устранение руткитов — это постоянная борьба между обеими сторонами этого конфликта. ^[62] Обнаружение может использовать ряд различных подходов, включая поиск «сигнатур» вирусов (например, антивирусное программное обеспечение), проверку целостности (например, цифровые подписи ), обнаружение на основе различий (сравнение ожидаемых и фактических результатов) и обнаружение по поведению. (например, мониторинг использования ЦП или сетевого трафика).

Для руткитов режима ядра обнаружение значительно сложнее и требует тщательного изучения таблицы системных вызовов для поиска перехватывающих функций , в которых вредоносное ПО может искажать поведение системы, ^[64] , а также аналитического сканирования памяти на предмет шаблонов, указывающих на скрытые процессы. . Предложения по обнаружению руткитов Unix включают Zeppoo, ^[65] chkrootkit , rkhunter и OSSEC . Для Windows средства обнаружения включают Microsoft Sysinternals RootkitRevealer , ^[66] Avast Antivirus , ^[67] Sophos Anti-Rootkit, ^[68] F-Secure , ^[69] Radix, ^[70] GMER , ^[71] и WindowsSCOPE . Любые детекторы руткитов, доказавшие свою эффективность, в конечном итоге способствуют их собственной неэффективности, поскольку авторы вредоносных программ адаптируют и тестируют свой код, чтобы избежать обнаружения хорошо используемыми инструментами. ^{[Примечания 1]} Обнаружение путем проверки хранилища, когда подозрительная операционная система не работает, может пропустить руткиты, не распознаваемые проверяющим программным обеспечением, поскольку руткит неактивен и подозрительное поведение подавляется; Обычное антивирусное программное обеспечение, работающее с работающим руткитом, может дать сбой, если руткит эффективно скрывает себя.

Альтернативное доверенное средство

Лучший и наиболее надежный метод обнаружения руткитов на уровне операционной системы — выключить компьютер, подозреваемый в заражении, а затем проверить его хранилище , загрузившись с альтернативного доверенного носителя (например, «спасательного» компакт-диска или USB-накопителя). ). ^[72] Этот метод эффективен, поскольку руткит не может активно скрывать свое присутствие, если он не запущен.

Поведенческий

Поведенческий подход к обнаружению руткитов пытается сделать вывод о наличии руткита, отслеживая поведение руткита. Например, при профилировании системы различия во времени и частоте вызовов API или в общей загрузке ЦП можно отнести к руткиту. Метод сложен и затруднен большим количеством ложноположительных результатов . Дефектные руткиты иногда могут вносить в систему очень очевидные изменения: руткит Alureon приводил к сбою систем Windows после того, как обновление безопасности выявило конструктивный недостаток в его коде. ^{[73] [74]} Журналы анализатора пакетов , брандмауэра или системы предотвращения вторжений могут свидетельствовать о поведении руткитов в сетевой среде. ^[26]

На основе подписи

Антивирусные продукты редко выявляют все вирусы в общедоступных тестах (в зависимости от того, что и в какой степени используется), даже несмотря на то, что поставщики защитного программного обеспечения включают обнаружение руткитов в свои продукты. Если руткит попытается скрыться во время антивирусного сканирования, стелс-детектор может это заметить; если руткит попытается временно выгрузиться из системы, обнаружение сигнатур (или «отпечатков пальцев») все равно сможет его обнаружить. ^[75] Такой комбинированный подход вынуждает злоумышленников реализовывать механизмы контратаки или «ретро»-процедуры, которые пытаются завершить работу антивирусных программ. Методы обнаружения на основе сигнатур могут быть эффективны против широко опубликованных руткитов, но менее эффективны против специально созданных руткитов с собственными корнями. ^[62]

На основе различий

Другой метод обнаружения руткитов сравнивает «доверенные» необработанные данные с «испорченным» содержимым, возвращаемым API . Например, двоичные файлы , присутствующие на диске, можно сравнить с их копиями в операционной памяти (в некоторых операционных системах образ в памяти должен быть идентичен образу на диске) или можно сравнить результаты, возвращаемые из файловой системы или API реестра Windows . проверяться на соответствие необработанным структурам на базовых физических дисках ^{[62] [76]} — однако в первом случае некоторые действительные различия могут быть внесены механизмами операционной системы, такими как перемещение памяти или шиммирование . Руткит может обнаружить наличие такого сканера на основе различий или виртуальной машины (последняя обычно используется для проведения судебно-медицинской экспертизы) и скорректировать свое поведение так, чтобы никакие различия не могли быть обнаружены. Обнаружение на основе различий использовалось инструментом Руссиновича RootkitRevealer для обнаружения руткита Sony DRM. ^[1]

Проверка целостности

Утилита rkhunter использует хэши SHA-1 для проверки целостности системных файлов.

Подписание кода использует инфраструктуру открытых ключей для проверки того, был ли файл изменен с момента его цифровой подписи его издателем. В качестве альтернативы владелец или администратор системы может использовать криптографическую хэш-функцию для вычисления «отпечатка пальца» во время установки, который может помочь обнаружить последующие несанкционированные изменения в библиотеках кода на диске. ^[77] Однако простые схемы проверяют только то, был ли код изменен с момента установки; подрывная деятельность до этого времени не обнаруживается. Отпечаток пальца необходимо восстанавливать каждый раз при внесении изменений в систему: например, после установки обновлений безопасности или пакета обновления . Хэш-функция создает дайджест сообщения — относительно короткий код, вычисляемый на основе каждого бита файла с использованием алгоритма, который создает большие изменения в дайджесте сообщения с еще меньшими изменениями в исходном файле. Пересчитывая и сравнивая дайджесты сообщений установленных файлов через регулярные промежутки времени с доверенным списком дайджестов сообщений, можно обнаруживать и отслеживать изменения в системе — при условии, что исходный базовый уровень был создан до добавления вредоносного ПО.

Более сложные руткиты способны нарушить процесс проверки, представив для проверки немодифицированную копию файла или внося изменения в код только в память, регистры реконфигурации, которые позже сравниваются с белым списком ожидаемых значений. ^[78] Код, выполняющий операции хэширования, сравнения или расширения, также должен быть защищен — в этом контексте понятие неизменяемого корня доверия предполагает, что самый первый код для измерения свойств безопасности системы сам по себе должен вызывать доверие. чтобы гарантировать, что руткит или буткит не скомпрометируют систему на самом фундаментальном уровне. ^[79]

Дампы памяти

Принудительное создание полного дампа виртуальной памяти захватит активный руткит (или дамп ядра в случае руткита режима ядра), что позволит выполнить автономный судебно-медицинский анализ с помощью отладчика на основе полученного файла дампа , при этом руткит не сможет принять любые меры, чтобы замаскировать себя. Этот метод является узкоспециализированным и может потребовать доступа к закрытому исходному коду или символам отладки . Дампы памяти, инициированные операционной системой, не всегда могут быть использованы для обнаружения руткита на базе гипервизора, который способен перехватывать и пресекать попытки чтения памяти на самом низком уровне ^[6] — аппаратное устройство, например устройство, реализующее не маскируемое прерывание в этом сценарии может потребоваться для сброса памяти. ^{[80] [81]} Виртуальные машины также упрощают анализ памяти взломанной машины с помощью базового гипервизора, поэтому по этой причине некоторые руткиты избегают заражения виртуальных машин.

Удаление

Удаление руткита вручную часто является чрезвычайно сложной задачей для обычного пользователя компьютера, ^[27] но ряд поставщиков программного обеспечения безопасности предлагают инструменты для автоматического обнаружения и удаления некоторых руткитов, обычно как часть антивирусного пакета . С 2005 года ежемесячное средство удаления вредоносных программ^{[обновлять]} Microsoft для Windows способно обнаруживать и удалять некоторые классы руткитов. ^{[82] [83]} Кроме того, автономный Защитник Windows может удалять руткиты, поскольку он запускается из доверенной среды до запуска операционной системы. ^[84] Некоторые антивирусные сканеры могут обходить API файловой системы , которые уязвимы для манипуляций со стороны руткитов. Вместо этого они напрямую обращаются к необработанным структурам файловой системы и используют эту информацию для проверки результатов системных API, чтобы выявить любые различия, которые могут быть вызваны руткитом. ^{[Примечания 2] [85] [86] [87] [88]} Есть специалисты, которые считают, что единственный надежный способ их удаления — это переустановка операционной системы с доверенного носителя. ^{[89] [90]} Это связано с тем, что инструменты удаления вирусов и вредоносных программ, работающие в ненадежной системе, могут быть неэффективны против хорошо написанных руткитов режима ядра. Загрузка альтернативной операционной системы с доверенного носителя может позволить смонтировать зараженный системный том и потенциально безопасно очистить его, а также скопировать важные данные или, альтернативно, провести судебно-медицинскую экспертизу. ^[26] Для этой цели можно использовать облегченные операционные системы, такие как Windows PE , консоль восстановления Windows , среда восстановления Windows , BartPE или Live Distros , что позволяет «очистить» систему. Даже если тип и природа руткита известны, ремонт вручную может оказаться нецелесообразным, а переустановка операционной системы и приложений безопаснее, проще и быстрее. ^[89]

Защита

Усиление защиты системы представляет собой один из первых уровней защиты от руткита, предотвращающий его установку. ^[91] Применение исправлений безопасности , реализация принципа минимальных привилегий , уменьшение поверхности атаки и установка антивирусного программного обеспечения — вот некоторые стандартные передовые методы обеспечения безопасности, которые эффективны против всех классов вредоносных программ. ^[92] Новые спецификации безопасной загрузки, такие как UEFI, были разработаны для устранения угрозы буткитов, но даже они уязвимы, если предлагаемые ими функции безопасности не используются. ^[50] Для серверных систем удаленная аттестация серверов с использованием таких технологий, как технология Intel Trusted Execution (TXT), обеспечивает способ проверки того, что серверы остаются в заведомо исправном состоянии. Например, шифрование хранящихся данных Microsoft Bitlocker проверяет, что при загрузке серверы находятся в известном «хорошем состоянии». PrivateCore vCage — это программное обеспечение, которое защищает используемые данные (память) во избежание буткитов и руткитов путем проверки того, что серверы находятся в известном «хорошем» состоянии при загрузке. Реализация PrivateCore работает совместно с Intel TXT и блокирует интерфейсы серверной системы, чтобы избежать потенциальных буткитов и руткитов.

Другой механизм защиты, называемый Virtual Wall (VTW), представляет собой легкий гипервизор с возможностями обнаружения руткитов и отслеживания событий. В обычном режиме работы (гостевой режим) Linux работает, и когда загруженный ЛКМ нарушает политику безопасности, система переходит в хост-режим. VTW в режиме хоста обнаруживает, отслеживает и классифицирует события руткитов на основе управления доступом к памяти и механизмов внедрения событий. Результаты экспериментов демонстрируют эффективность VTW в своевременном обнаружении и защите от руткитов ядра с минимальной нагрузкой на процессор (менее 2%). VTW выгодно отличается от других схем защиты, подчеркивая его простоту реализации и потенциальный прирост производительности на серверах Linux. ^[93]

Смотрите также

• Конференция по компьютерной безопасности
• Хостовая система обнаружения вторжений
• Атака «человек посередине»
• Руткитный арсенал: побег и уклонение в темных уголках системы

Примечания

1. Имя процесса Sysinternals RootkitRevealer было атаковано вредоносным ПО; В попытке противостоять этой контрмере инструмент теперь использует случайно сгенерированное имя процесса.
2. Теоретически, достаточно сложный руткит уровня ядра может также нарушить операции чтения необработанных структур данных файловой системы, чтобы они соответствовали результатам, возвращаемым API.

Рекомендации

1. «Руткиты, часть 1 из 3: Растущая угроза» (PDF) . Макафи . 17 апреля 2006 г. Архивировано из оригинала (PDF) 23 августа 2006 г.
2. Эванчич, Н.; Ли, Дж. (23 августа 2016 г.). «6.2.3 Руткиты». В Кольбере, Эдвард Дж. М.; Котт, Александр (ред.). Кибербезопасность SCADA и других промышленных систем управления . Спрингер. п. 100. ИСБН 9783319321257– через Google Книги .
3. «Что такое руткит - определение и объяснение» . www.kaspersky.com . 09.04.2021 . Проверено 13 ноября 2021 г.
4. «Обзор руткита Windows» (PDF) . Симантек . 26 марта 2006 г. Архивировано из оригинала (PDF) 14 декабря 2010 г. Проверено 17 августа 2010 г.
5. Спаркс, Шерри; Батлер, Джейми (1 августа 2005 г.). «Поднимая планку обнаружения руткитов Windows». Фрак . 0xb (x3d).
6. Майерс, Майкл; Юндт, Стивен (7 августа 2007 г.). Введение в руткиты виртуальных машин с аппаратным обеспечением (HVM) (отчет). Решающая безопасность. CiteSeerX 10.1.1.90.8832 . 
7. Эндрю Хэй; Дэниел Сид; Рори Брей (2008). Руководство OSSEC по обнаружению вторжений на хосте. Сингресс. п. 276. ИСБН 978-1-59749-240-9– через Google Книги .
8. Томпсон, Кен (август 1984 г.). «Размышления о доверии» (PDF) . Коммуникации АКМ . 27 (8): 761. дои : 10.1145/358198.358210 .
9. Грег Хоглунд; Джеймс Батлер (2006). Руткиты: повреждение ядра Windows. Аддисон-Уэсли. п. 4. ISBN 978-0-321-29431-9– через Google Книги .
10. Дай Зови, Дино (26 июля 2009 г.). Расширенные руткиты Mac OS X (PDF) . Черная шляпа . Системы эндшпиля . Проверено 23 ноября 2010 г.
11. «Stuxnet представляет первый известный руткит для промышленных систем управления» . Симантек . 06 августа 2010 г. Проверено 4 декабря 2010 г.
12. «Подробности о шпионском ПО: XCP.Sony.Rootkit» . Компьютерные партнеры . 05.11.2005. Архивировано из оригинала 18 августа 2010 г. Проверено 19 августа 2010 г.
13. Руссинович, Марк (31 октября 2005 г.). «Sony, руткиты и управление цифровыми правами зашли слишком далеко». Блоги TechNet . Майкрософт . Проверено 16 августа 2010 г.
14. "Длительные проблемы Sony с компакт-дисками, связанными с руткитами" . Новости BBC . 21 ноября 2005 г. Проверено 15 сентября 2008 г.
15. Фелтон, Эд (15 ноября 2005 г.). «Сетевая программа удаления Sony открывает большую дыру в безопасности; Sony отзывает диски» .
16. Найт, Уилл (11 ноября 2005 г.). «Sony BMG подала в суд из-за маскировочного программного обеспечения на музыкальном компакт-диске» . Новый учёный . Проверено 21 ноября 2010 г.
17. Кириакиду, Дина (2 марта 2006 г.). «Скандал «Греческий Уотергейт» вызывает политические потрясения» . Рейтер . Проверено 24 ноября 2007 г.^{[ мертвая ссылка ]}
18. Василис Превелакис; Диомидис Спинеллис (июль 2007 г.). «Афинское дело».
19. Руссинович, Марк (июнь 2005 г.). «Раскопки корневых наборов». Windows ИТ-специалист . Архивировано из оригинала 18 сентября 2012 г. Проверено 16 декабря 2010 г.
20. Маркс, Джозеф (1 июля 2021 г.). «Кибербезопасность 202: будущее Министерства юстиции в том, чтобы мешать хакерам, а не просто предъявлять им обвинения». Вашингтон Пост . Проверено 24 июля 2021 г.
21. Стив Ханна (сентябрь 2007 г.). «Использование технологии руткитов для обнаружения вредоносных программ на основе Honeypot» (PDF) . Встреча CCEID.
22. Руссинович, Марк (6 февраля 2006 г.). «Использование руткитов для обхода управления цифровыми правами». Уинтерналс . SysInternals. Архивировано из оригинала 14 августа 2006 года . Проверено 13 августа 2006 г.
23. «Symantec выпускает обновление для собственного руткита» . HWM (март): 89. 2006 г. - через Google Книги .
24. Ортега, Альфредо; Сакко, Анибал (24 июля 2009 г.). Деактивировать руткит: Атаки на технологии защиты от кражи BIOS (PDF) . Черная шляпа США, 2009 г. (PDF) . Бостон, Массачусетс: Основные технологии безопасности . Проверено 12 июня 2014 г.
25. Кляйснер, Питер (2 сентября 2009 г.). «Stoned Bootkit: распространение руткитов и буткитов MBR в дикой природе» (PDF) . Архивировано из оригинала (PDF) 16 июля 2011 г. Проверено 23 ноября 2010 г.
26. Энсон, Стив; Бантинг, Стив (2007). Освоение сетевой криминалистики и расследования Windows. Джон Уайли и сыновья. стр. 73–74. ISBN 978-0-470-09762-5.
27. «Руткиты, часть 2: Технический учебник» (PDF) . Макафи . 3 апреля 2007 г. Архивировано из оригинала (PDF) 5 декабря 2008 г. Проверено 17 августа 2010 г.
28. Кдм. «NTIllusion: портативный руткит пользовательской области Win32». Фрак . 62 (12).
29. «Понимание технологий защиты от вредоносного ПО» (PDF) . Майкрософт . 21 февраля 2007 г. Архивировано из оригинала (PDF) 11 сентября 2010 г. Проверено 17 августа 2010 г.
30. Хоглунд, Грег (9 сентября 1999). «*НАСТОЯЩИЙ* NT-руткит, исправление ядра NT». Фрак . 9 (55) . Проверено 21 ноября 2010 г.
31. Чувакин, Антон (2 февраля 2003 г.). Обзор руткитов Unix (PDF) (отчет). Шантильи, Вирджиния: iDEFENSE. Архивировано из оригинала (PDF) 25 июля 2011 г. Проверено 21 ноября 2010 г.
32. Батлер, Джеймс; Спаркс, Шерри (16 ноября 2005 г.). «Руткиты Windows 2005 года, часть вторая». Симантек Коннект . Симантек . Проверено 13 ноября 2010 г.
33. Батлер, Джеймс; Спаркс, Шерри (3 ноября 2005 г.). «Руткиты Windows 2005 года, часть первая». Симантек Коннект . Симантек . Проверено 12 ноября 2010 г.
34. Бурдах, Мариуш (17 ноября 2004 г.). «Обнаружение руткитов и угроз на уровне ядра в Linux». Симантек . Проверено 23 ноября 2010 г.
35. Осборн, Чарли (17 сентября 2019 г.). «Вредоносное ПО Skidmap внедряется в ядро, чтобы скрыть незаконный майнинг криптовалюты». ЗДНет . Проверено 24 июля 2021 г.
36. Марко Джулиани (11 апреля 2011 г.). «ZeroAccess — руткит расширенного режима ядра» (PDF) . Программное обеспечение Webroot . Проверено 10 августа 2011 г.
37. «Требования к подписи драйверов для Windows» . Майкрософт . Проверено 6 июля 2008 г.
38. Солтер, Джим (31 июля 2020 г.). «Системы Red Hat и CentOS не загружаются из-за исправлений BootHole». Арс Техника . Проверено 24 июля 2021 г.
39. Шнайер, Брюс (23 октября 2009 г.). «Атаки «злой девицы» на зашифрованные жесткие диски» . Проверено 7 ноября 2009 г.
40. Соедер, Дерек; Перме, Райан (9 мая 2007 г.). «Бутрут». Цифровая безопасность eEye. Архивировано из оригинала 17 августа 2013 г. Проверено 23 ноября 2010 г.
41. Кумар, Нитин; Кумар, Випин (2007). Vbootkit: компрометация безопасности Windows Vista (PDF) . Черная шляпа Европа 2007.
42. «ЗАГРУЗОЧНЫЙ КОМПЛЕКТ: Пользовательский загрузочный сектор на основе Windows 2000/XP/2003 Subversion» . НВлабс . 04 февраля 2007 г. Архивировано из оригинала 10 июня 2010 года . Проверено 21 ноября 2010 г.
43. Кляйснер, Питер (19 октября 2009 г.). «Упоротый Буткит». Питер Кляйснер . Проверено 7 ноября 2009 г.^{[ самостоятельный источник ]}
44. Гудин, Дэн (16 ноября 2010 г.). «Самый продвинутый руткит в мире проникает в 64-битную Windows». Регистр . Проверено 22 ноября 2010 г.
45. Франциско, Нил Макаллистер в Сан. «Microsoft ужесточает контроль над OEM-лицензированием Windows 8». www.theregister.com .
46. Кинг, Сэмюэл Т.; Чен, Питер М.; Ван, И-Мин; Вербовски, Чад; Ван, Хелен Дж.; Лорх, Джейкоб Р. (3 апреля 2006 г.). «SubVirt: внедрение вредоносного ПО на виртуальных машинах» (PDF) . Симпозиум IEEE 2006 г. по безопасности и конфиденциальности (S&P'06) . Институт инженеров электротехники и электроники . стр. 14 стр.-327. дои :10.1109/СП.2006.38. ISBN 0-7695-2574-1. S2CID  1349303 . Проверено 15 сентября 2008 г.
47. Ван, Чжи; Цзян, Сюсянь; Цуй, Вэйдун; Нин, Пэн (11 августа 2009 г.). «Противодействие руткитам ядра с помощью облегченной защиты от перехвата» (PDF) . В Аль-Шаере Эхаб (генеральный председатель) (ред.). Материалы 16-й конференции ACM по компьютерной и коммуникационной безопасности . CCS 2009: 16-я конференция ACM по компьютерной и коммуникационной безопасности. Джа, Сомеш; Керомитис, Ангелос Д. (руководители программ). Нью-Йорк: ACM Нью-Йорк. дои : 10.1145/1653662.1653728. ISBN 978-1-60558-894-0. Проверено 11 ноября 2009 г.
48. «Device Guard — это сочетание контроля приложений Защитника Windows и защиты целостности кода на основе виртуализации (Windows 10)» . 11 июля 2023 г.
49. Делюгре, Гийом (21 ноября 2010 г.). Восстановление прошивки Broacom NetExtreme (PDF) . hack.lu. Согети. Архивировано из оригинала (PDF) 25 апреля 2012 г. Проверено 25 ноября 2010 г.
50. «Команда хакеров использует руткит UEFI BIOS для сохранения агента RCS 9 в целевых системах - блог TrendLabs Security Intelligence» . 13 июля 2015 г.
51. Хисман, Джон (25 января 2006 г.). Внедрение и обнаружение руткита ACPI BIOS (PDF) . Black Hat Federal 2006. NGS Consulting . Проверено 21 ноября 2010 г.
52. Хисман, Джон (15 ноября 2006 г.). «Внедрение и обнаружение руткита PCI» (PDF) . Программное обеспечение безопасности нового поколения. CiteSeerX : 10.1.1.89.7305 . Проверено 13 ноября 2010 г.
53. Модайн, Остин (10 октября 2008 г.). «Организованная преступность вмешивается в европейские устройства для считывания карт: данные клиентов передаются за границу». Регистр . Ситуация Публикация . Проверено 13 октября 2008 г.
54. Сакко, Анибал; Ортега, Альфредо (2009). Постоянное заражение BIOS (PDF) . CanSecWest 2009. Основные технологии безопасности. Архивировано из оригинала (PDF) 8 июля 2011 г. Проверено 21 ноября 2010 г.
55. Гудин, Дэн (24 марта 2009 г.). «Номодомодные руткиты выдерживают очистку жесткого диска». Регистр . Ситуация Публикация . Проверено 25 марта 2009 г.
56. Сакко, Анибал; Ортега, Альфредо (1 июня 2009 г.). «Постоянная инфекция BIOS: ранняя пташка ловит червя». Фрак . 66 (7) . Проверено 13 ноября 2010 г.
57. Рик Вилер (2007). Профессиональные руткиты . Джон Уайли и сыновья. п. 244. ИСБН 9780470149546.
58. Матросов, Александр; Родионов, Евгений (25 июня 2010 г.). «TDL3: руткит всего зла?» (PDF) . Москва: ЭСЕТ . п. 3. Архивировано из оригинала (PDF) 13 мая 2011 г. Проверено 17 августа 2010 г.
59. Матросов, Александр; Родионов, Евгений (27 июня 2011 г.). «Эволюция TDL: завоевание x64» (PDF) . ЭСЕТ . Архивировано из оригинала (PDF) 29 июля 2015 г. Проверено 8 августа 2011 г.
60. Гатлан, Сергей (6 мая 2021 г.). «Новый руткит Moriya, используемый в дикой природе для бэкдора систем Windows» . Пипящий компьютер . Проверено 24 июля 2021 г.
61. Брамли, Дэвид (16 ноября 1999 г.). «Невидимые злоумышленники: руткиты на практике». УСЕНИКС .
62. Дэвис, Майкл А.; Бодмер, Шон; ЛеМастерс, Аарон (03 сентября 2009 г.). «Глава 10: Обнаружение руткитов» (PDF) . Взлом открытых вредоносных программ и руткитов: секреты и решения безопасности вредоносных программ и руткитов . Нью-Йорк: McGraw Hill Professional. ISBN 978-0-07-159118-8.
63. Трлоком (5 июля 2006 г.). «Победа над руткитами и кейлоггерами» (PDF) . Трлоком. Архивировано из оригинала (PDF) 17 июля 2011 г. Проверено 17 августа 2010 г.
64. Дай Зови, Дино (2011). «Ядерные руткиты». Архивировано из оригинала 10 сентября 2012 года . Проверено 13 сентября 2012 г.
65. "Зеппу". СоурсФордж . 18 июля 2009 года . Проверено 8 августа 2011 г.
66. Когсвелл, Брайс; Руссинович, Марк (1 ноября 2006 г.). «RootkitRevealer v1.71». Майкрософт . Проверено 13 ноября 2010 г.
67. «Руткиты и антируткиты» . Проверено 13 сентября 2017 г.
68. "Антируткит Sophos" . Софос . Проверено 8 августа 2011 г.
69. "Черный свет". F-безопасный . Архивировано из оригинала 21 сентября 2012 года . Проверено 8 августа 2011 г.
70. "Антируткит Radix" . usec.at. Архивировано из оригинала 21 сентября 2012 года . Проверено 8 августа 2011 г.
71. "ГМЕР" . Проверено 8 августа 2011 г.
72. Гарриман, Джош (19 октября 2007 г.). «Методология тестирования эффективности удаления руткитов» (PDF) . Дублин, Ирландия: Ответ безопасности Symantec. Архивировано из оригинала (PDF) 7 октября 2009 г. Проверено 17 августа 2010 г.
73. Куиботариу, Мирча (12 февраля 2010 г.). «Тидсерв и МС10-015». Симантек . Проверено 19 августа 2010 г.
74. «Проблемы с перезагрузкой после установки MS10-015» . Майкрософт . 11 февраля 2010 г. Проверено 5 октября 2010 г.
75. Стейнберг, Джозеф (9 июня 2021 г.). «Что нужно знать о кейлоггерах». bestantivirus.com . Проверено 24 июля 2021 г.
76. «Обнаружение руткита Strider GhostBuster» . Исследования Майкрософт. 28 января 2010 г. Архивировано из оригинала 29 июля 2012 г. Проверено 14 августа 2010 г.
77. «Подписание и проверка кода с помощью Authenticode». Майкрософт . Проверено 15 сентября 2008 г.
78. «Остановка руткитов на границе сети» (PDF) . Бивертон, Орегон: Группа доверенных вычислений . Январь 2017 года . Проверено 11 июля 2008 г.
79. «Спецификация реализации TCG для ПК, версия 1.1» (PDF) . Группа доверенных вычислений . 18 августа 2003 г. Проверено 22 ноября 2010 г.
80. «Как создать полный файл дампа сбоя или файл дампа сбоя ядра с помощью NMI в системе под управлением Windows» . Майкрософт . Проверено 13 ноября 2010 г.
81. Сешадри, Арвинд; и другие. (2005). «Пионер». Материалы двадцатого симпозиума ACM по принципам операционных систем . Университет Карнеги Меллон . стр. 1–16. дои : 10.1145/1095810.1095812. ISBN 1595930795. S2CID  9960430.
82. Диллард, Курт (3 августа 2005 г.). «Битва руткитов: Rootkit Revealer против Hacker Defender».
83. «Средство удаления вредоносных программ Microsoft Windows помогает удалить определенные распространенные вредоносные программы с компьютеров под управлением Windows 7, Windows Vista, Windows Server 2003, Windows Server 2008 или Windows XP» . Майкрософт . 14 сентября 2010 г.
84. Беттани, Эндрю; Хэлси, Майк (2017). Устранение неполадок с вирусами и вредоносными программами Windows. Апресс. п. 17. ISBN 9781484226070– через Google Книги .
85. Халтквист, Стив (30 апреля 2007 г.). «Руткиты: следующая угроза для крупного предприятия?». Инфомир . Проверено 21 ноября 2010 г.
86. «Наблюдение за безопасностью: Руткиты для развлечения и прибыли» . Обзоры CNET. 19 января 2007 г. Архивировано из оригинала 8 октября 2012 г. Проверено 7 апреля 2009 г.
87. Борт, Джули (29 сентября 2007 г.). «Шесть способов борьбы с ботнетами». ПКМир . Сан-Франциско: PCWorld Communications . Проверено 7 апреля 2009 г.
88. Хоанг, Мими (2 ноября 2006 г.). «Решение современных серьезных угроз безопасности: руткиты». Симантек Коннект . Симантек . Проверено 21 ноября 2010 г.
89. Дансельо, Майк; Бейли, Тони (6 октября 2005 г.). «Руткиты: неизвестная хакерская атака». Майкрософт.
90. Мессмер, Эллен (26 августа 2006 г.). «Эксперты разделились по поводу обнаружения и удаления руткитов». NetworkWorld.com . Фрамингем, Массачусетс: IDG . Проверено 15 августа 2010 г.
91. Скудис, Эд; Зельцер, Ленни (2004). Вредоносное ПО: борьба с вредоносным кодом. Прентис Холл PTR. п. 335. ИСБН 978-0-13-101405-3.
92. Ханнел, Джероми (23 января 2003 г.). «Руткиты Linux для начинающих – от профилактики до удаления». Институт САНС . Архивировано из оригинала (PDF) 24 октября 2010 г. Проверено 22 ноября 2010 г.
93. Ли, Юн-Ганг; Чунг, Йе-Чинг; Хван, Кай; Ли, Юэ-Джин (2021). «Виртуальная стена: фильтрация атак руткитов для защиты функций ядра Linux». Транзакции IEEE на компьютерах . 70 (10): 1640–1653. дои : 10.1109/TC.2020.3022023. S2CID  226480878.

дальнейшее чтение

• Бланден, Билл (2009). Руткитный арсенал: побег и уклонение в темных углах системы . Словарное обеспечение. ISBN 978-1-59822-061-2.
• Хоглунд, Грег; Батлер, Джеймс (2005). Руткиты: повреждение ядра Windows . Аддисон-Уэсли Профессионал. ISBN 978-0-321-29431-9.
• Грамп, FT; Моррис, Роберт Х. старший (октябрь 1984 г.). «Система UNIX: Безопасность операционной системы UNIX». Технический журнал AT&T Bell Laboratories . 62 (8): 1649–1672. doi :10.1002/j.1538-7305.1984.tb00058.x. S2CID  26877484.
• Конг, Джозеф (2007). Проектирование руткитов BSD . Нет крахмального пресса. ISBN 978-1-59327-142-8.
• Вейлер, Рик (2007). Профессиональные руткиты . Врокс. ISBN 978-0-470-10154-4.

Внешние ссылки

• СМИ, связанные с руткитами, на Викискладе?