روت‌کیت

از ویکی‌پدیا، دانشنامهٔ آزاد
پرش به: ناوبری، جستجو

روت‌کیت (به انگلیسی: Rootkit) مجموعه‌ای از نرم‌افزارهاست که کنترل یک سیستم رایانه‌ای را به دست می‌گیرد. در این نوع حمله، کاربر سیستم متوجه حضور روت‌کیت نخواهد شد و هکر رایانه توانایی تغییر تمامی تنظیمات رایانه را دارد.

رایانه‌ای که تحت سلطه روت‌کیت و نهایتاً هکر قرار می‌گیرد را زامبی (به انگلیسی: Zombie) می‌نامند. اگر ضایعه‌ای در شبکه رایانه‌ها پیدا شود، با پیگیری آن به زامبی می‌رسیم و هکر نمی‌تواند ردیابی شود.

روت‌کیت بدافزارهایی هستند که اغلب، ﺁنها را به خودی خود نمی‌توان مخرب یا خطرناک دانست، بلکه قرار گرفتن ﺁنها در کنار ویروس‌ها یا کرم‌های اینترنتی یا نوع استفاده از ﺁن‌هاست که به ﺁنان ماهیتی خطرناک می‌بخشد. به عنوان یک تعریف می‌توان گفت که روت‌کیت ابزاری نرم‌افزاری است که بوسیله ﺁن این امکان وجود دارد تا فایل، پروسه یا کلیدی خاص در رجیستری را پنهان نمود. روت‌کیت‌ها اغلب در سطح سیستم‌عامل فعالیت کرده و با تغییراتی که در سیستم‌عامل یا منابع ﺁن انجام می‌دهند، به مقاصد خود دست پیدا می‌کنند. به علت قابلیت پنهان‌سازی قوی اینگونه برنامه‌ها، شناسایی ﺁن‌ها یا برنامه‌هایی که توسط ﺁنها پنهان گردیده اغلب مشکل بوده و این امر می‌تواند مشکلاتی را برای کاربران بوجود ﺁورد. به عنوان مثال برخی از روت‌کیت‌ها پس از اجرا بر روی سیستم کاربر، کرمی را از دل خود بیرون ﺁورده و بر روی سیستم کاربر اجرا می‌نمایند. سپس با قابلیت‌های خاص خود ﺁن‌را از دید کاربر مخفی می‌کنند و کرم مزبور به راحتی به فعالیت‌های مخرب خود به دور از چشم کاربر ادامه می‌دهد. [۱]

روت‌کیت‌ها برنامه‌هایی هستند که از نظر ساختار کاری بسیار شبیه Trojanها[۲] و Backdoorها[۳] هستند، ولی با این تفاوت که شناسایی روت‌کیت بسیار مشکلتر از درب‌های پشتی است زیرا روت‌کیت‌ها جایگزین برنامه‌های اجرایی مهم سیستم عامل شده و در گاهی مواقع جایگزین خود هسته می‌شوند و به هکرها این اجازه را می‌دهند که از طریق درب پشتی و پنهان شدن در عمق سیستم عامل به آن نفوذ کنند.
به طور کلی دو نوع روت‌کیت وجود دارد روت‌کیت سنتی، روت‌کیت سطح هسته.

کاربرد[ویرایش]

روت‌کیت‌های سنتی با شناسایی اولین روت‌کیت بسیار قدرتمند در اویل سال ۱۹۹۰ در طول یک دهه گسترش پیدا کردند. روت‌کیت‌های سنتی برای سیستم عامل‌های مختلف نوشته شده‌اند ولی به طور سنتی بر روی سیستم‌های یونیکس تمرکز کرده‌اند. ولی برای ویندوزهای سرور مثل NT/2000 نیز روت‌کیت‌هایی نوشته شده‌اند که جایگزین کتابخانه‌های (DLL) شده[۴] و یا سیستم را تغییر می‌دهند ولی تعداد زیادی از روت‌کیت‌ها برای سیستم‌های یونیکس نوشته شده‌اند.

روت‌کیت‌ها اجازه دسترسی Root را به ما نمی‌دهند و ما هنگامی قادر به نصب آنها بر روی یک سیستم هستیم که دسترسی ریشه‌ای و مدیر یک سیستم را توسط روش‌های دیگری مثل سرریز بافر به دست آورده باشیم. بنابراین یک روت‌کیت یک سری ابزارهایی است که با پیاده‌سازی یک درب پشتی و پنهان کردن مدارک استفاده از سیستم و ردپاها به هکر اجازه نگهداری دسترسی را می‌دهد.[۵]
روت‌کیت‌های سنتی به جای اینکه فایلی در هسته سیستم قربانی اضافه کنند، سرویسها و فایل‌های اصلی و مهم سیستم عامل قربانی را با یک نسخه تغییر یافته آن که عملیاتی مخرب انجام می‌دهد جایگزین می‌کنند.

هکرها با پوشاندن چشم و گوشهای مدیران سیستم که توسط روت‌کیت انجام می‌شود می‌توانند به صورت موثری حضورشان را در یک سیستم مخفی نگه دارند. lrk5 و Tornkit دو نمونه از روت‌کیت‌های سنتی هستند که برای سیستم‌های Linux و Solaris نوشته شده‌اند. این روت‌کیت‌ها به محض نصب شدن در سیستم قربانی خود را با سرویس‌های حیاتی و مهم سیستم عامل جایگزین می‌کنند.[۶]

روت‌کیت‌های سطح هسته نسبت به نوع سنتی بسیار حرفه‌ای تر هستند و از نظر سطح پنهان سازی بسیار پا را فراتر از نوع سنتی گذاشته‌اند زیرا این روت‌کیت‌ها در سطح ریشه پیاده سازی می‌شوند و این کار شناسایی و کنترل کردن آنها را بسیار مشکل تر کرده‌است. روت‌کیت‌های سطح هسته به ما کنترل کاملی از سیستم اصلی و یک امکان قدرتمند برای جای گیری می‌دهد.
خود هسته در حالی که یک کرنل زیبا و کارآمد به نظر می‌رسد تبدیل به یک اسب تروا می‌شود و در حقیقت Kernel فاسد می‌شود ولی صاحب سیستم از این موضوع بی خبر می‌ماند.
چند تا از معروف ترین روت‌کیت‌های سطح هسته Knrak و Adore برای سیستم‌های لینوکس، Plasmoid برای سیستم‌های Solaris و روت‌کیت سطح هسته ویندوز NT برای سیستم‌های سرور ویندوز نام دارند.

منابع[ویرایش]

  • علیرضا محمدی‌فر. آزارافزار چیست و چگونه کار می‌کند. . برگزیده مقاله‌های ماهنامه ریزپردازنده، ش. ۱۷ (زمستان ۱۳۸۷): ۸. 
  1. نوشتار ضدویروس ایمن، بخش بدافزارهای دیگر
  2. The روت‌کیتs in windows
  3. The روت‌کیتs in windows
  4. windows programming
  5. windows programming whily
  6. The Art of Explotation