rootkit چیست؟ [بایگانی] - برنامه نویس

حمیدرضاصادقیان

جمعه 04 آذر 1384, 19:38 عصر

سلام خدمت اساتید گرام مخصوصا خدمت استاد گرامی آقای inprise گل.
آقا من یک سوال داشتم
اولین کتابی رو که شما معرفی کردین دانلود کردم و درحال مطالعه هستم.
درمورد rootkit نوشته بود
که یک دسته از برنامه ها و کدهایی است که اجازه میده یک شخصیت دائمی و غیر قابل شناسایی روی کامپیوتر ما باشد.

آیا میشه ویروسها یا تروجانها رو هم جز rookit ها نامید.؟ یا من دارم اشتباه میکنم.
ممنون

Developer Programmer

جمعه 04 آذر 1384, 20:11 عصر

به نظر حقیر ...
بله میشه اما روتکیتها امکانات بیشتر و مخفی کاریهای بیشتری دارند و سعی میکنند که سرویسهای ویندوز رو مختل کنند، معمولا از روتکیت برای دسترسی به سرور استفاده میشه اما تروجان رو برای یک یوزر خاص می فرستن

Inprise

شنبه 05 آذر 1384, 08:43 صبح

Rootkit ابزاریه که اجزاء اصلی سیستم عامل رو به شکلی "آلوده" و "بیمار" میکنه که دیگه نمیشه به خروجی ها/عکس العملهای سیستم عامل و توابع اون اعتماد کرد . تو برای اینکه بفهمی در حال حاضر چند پروسه روی یک سیستم در حال اجراست نهایتا" روی ویندوز باید از چند API و روی لینوکس از یکی دو تا سیستمکال یا بررسی proc/ استفاده کنی ، و اگر نرم افزاری ، قبل از این ، توابع و API های سیستم رو تغییر داده باشه ، یا بین راه برای فراخوانی توابع کمین کرده ، و جوابی که برمیگردونن رو تغییر داده باشه ، تو دیگه نمیتونی به عنوان مثال مطمئن باشی تعداد پروسه هائی که به نظر میاد روی سیستمت واقعا" در حال اجرا هستند ، واقعیه یا غیر واقعی . یعنی هر وقت نرم افزاری تلاش کنه ، با شنود تراکنشهای بین اجزاء سیستم عامل و سیستم عامل و نرم افزارها ، "واقعیت" رو تغییر بده ، یا حتی با تغییر / Patch اجزاء سیستم عامل عملکرد اونها رو به شکلی تغییر بده که "واقعیت" براحتی قابل استخراج نباشه ، اون نرم افزار یک Rootkit است .

گاهی تروجانها برای اینکه کشف شون دشوارتر باشه از یک Rootkit داخلی هم استفاده میکنند ، ولی بهر حال تروجان یک RAT یا Remote Admin Tool است برای کنترل راه دور ، و Rootkit تعریفش تو پاراگراف قبلی ، و اینا لزوما" بهم مربوط نیستند .

خوش باشید

حمیدرضاصادقیان

شنبه 05 آذر 1384, 19:54 عصر

خیلی خیلی ممنون استاد عزیز.
حالا آیا ویروس یابها امکان پیداکردن روتکیت ها رو هم دارند و میتونن شناسایی شون بکنن؟؟/

Inprise

شنبه 05 آذر 1384, 20:51 عصر

مثل بقیه چیزها ؛ گاهی بله ، گاهی خیر . بستگی داره .

Babak-Aghili

چهارشنبه 23 آذر 1384, 11:48 صبح

حالا آیا ویروس یابها امکان پیداکردن روتکیت ها رو هم دارند و میتونن شناسایی شون بکنن؟؟

@ آقای صادقیان : برخی آنتی ویروسها ، علیرغم ایمن بودنشون ، سازندگان آنها هنوز فرصت نکرده اند !! که Packer ها را برایشان تعریف کنند!!! ... در چنین شرایطی ، چند سال آینده هم باید منتظر باشیم تا نوبت به روتکیت ها برسه.
به نظر میرسه ، این آنتی ویروسهای ایمن ، اتفاقا بسیار هم غیرایمن باشند .