Руткитите хващат системата в лъжи

Александър Кулков,
Генерален директор на InfoOborona

Днес организациите са периодично изложени на злонамерени действия от трети страни, в резултат на което компютрите в мрежата са компрометирани. Но често хакерите не се ограничават до една атака срещу компютър - те могат да установят постоянен контрол върху действията му, да премахнат данните, съхранявани в системата, или да наблюдават мрежата като цяло. За целта нападателите оставят така наречените вратички в системата (вид тайни пътища за получаване на достъп), за да могат да се свържат по всяко време с компютъра на жертвата. За да предотврати откриването на вратичката от потребителя, хакерът използва специална технология, за да скрие работата на злонамерен софтуер или присъствието му в системата - руткит.

системата
Работата на руткита е да промени начина на работа на модулите. Програмите, работещи в системата, са създадени за извършване на определени действия. Процесът на функциониране на приложенията се състои в извикване на определени функции на операционната система (например разпределяне на памет, заявяване на списък с процеси и т.н.). Руткитът, от друга страна, променя работата на тези програми, като замества извиканите функции и получения резултат или входните параметри, което кара приложенията да започнат да функционират по различен начин, отколкото потребителят очаква.

Видове руткитове

Има руткитове, които работят в потребителски режим и режим на ядро. Първият тип променя кода на приложението, заредено в паметта на компютъра. Втората модифицира кода на ядрото на операционната система, заредено директно в паметта на машината. Характеристика на първия тип е лекотата на разработка, докато такъв руткит е лесен за откриване. Основната характеристика на втория тип руткит е, че е трудно да се открие, тъй като той работи на много ниско ниво на операционната система. В същото време подобен руткит е труден за разработване (въпреки че за опитен системен програмист това няма да е трудно).