רוטקיטים




רוטקיט
, למי שלא מכיר עדיין, הוא נושא מרתק! למעשה אין יותר מרתק ממנו כשמדובר
בתוכנות ריגול והסיבה היא שהטכנולוגיה שרוטקיט משתמש בה היא מחוכמת ביותר.
הרוטקיט יודע להסתיר קבצים, רשומות רג'יסטרי ואת התקשורת שהוא מבצע לאינטרנט
ע"י כך שהוא משתלט על הבקשות הבאות ממערכת ההפעלה ומחבל בפקודות אשר מנסות לאתר אותו
(intercepts common API calls).אפרופו מערכת ההפעלה 7 מחוסנת הרבה יותר מ- XP הותיקה
כשמדובר ברוטקיט.המטרה של הרוטקיט הזדוני היא להוריד מהאינטרנט קוד שיאפשר
להאקר גישה עם זכויות מלאות למערכת ההפעלה שלנו וכל זאת מבלי שיהיה לנו מושג שהוא קיים,
לכן הדרך של סינון אפליקציות ב-Startup לא כל כך תעזור במקרה כזה.

פעולות להסרת רוטקיט: בדרך כלל נחשוד שיש לנו רוטקיט על המערכת כאשר המחשב יתחיל
להגיב בצורה מוזרה, בעיות עם דרייברים ועם התקני חומרה שונים מצביעות על אותם סימפטומים של
הדבקות ברוטקיט.

  1. סריקת המערכת לרוטקיט- נבצע סריקה כדי לבדוק באם קיים לנו רוטקיט במערכת
    (חוויה מרתקת).
  2. הוראות הסרה-באם תוכנות האנטי-רוטקיט מניבות תוצאות חיוביות, נאסוף פרטים
    על אותם רוטקיטים שנתגלו ונחפש הוראות הסרה.
  3. להתבונן על מערכת ההפעלה מלמעלה- נעלה מ LIVE-CDונבצע את פעולות
    ההסרה משם.
  4. פירמוט והתקנה מחדש- למשתמשים בסיסים אני ממליץ לפרמט את המחשב ולהתקין מחדש.
  5. התגוננות-כלי הימנעותמהדבקות ברוטקיט.


כלי סריקה
חיפוש פרוססים, דרייברים, חבויים במערכת.
קחו בחשבון שבדומה לתוכנות האנטיוירוס והפיירוול גם תוכנות האנטי-רוטקיט מציגות תוצאות
false positives כלומר, נתגלה פרוסס חבוי במערכת kernel-level hooks,
אך זה לא בהכרח רוטקיט. לאלו שלא בטוחים אני ממליץ להתחיל עם ProcessExplorer
כדי לבחון מקרוב את תגובות המערכת.


  1. Sophos Anti-Rootkit-אנטי רוטקיט אשר דורש התקנה.
  2. Panda Anti-Rootkit-הורדה והפעלה (ללא התקנה ), מדריך.
  3. RootkitRevealer- סורק הרוטקיט של מרק רוסונוביץ.
  4. Malicious Software Removal Tool- מגלה ספייוור ורוטקיט (הרבה false-positives).
  5. Avira Rootkit Detection- חלק מחבילת האנטי וירוס החינמי של Avira


האם תוכנות להסרת רוטקיט מספיקות כדי לעשות את העבודה?
שלא בדומה לתוכנות אנטי וירוס אשר מבצעות סריקה למערכת ולאחר מכן מסירות את הטפילים,
כלי האנטי-רוטקיט מבצעים סריקה ומפנים אותנו לפתרון אשר מצוי באתרים חיצונים.
לאחרונה הכלים מציעים גם פתרון ניקוי אך אני בספק מהי היעילות של פעולה כזו?
-חשוב להיזהר מלהתקין אנטי רוטקיט מזויף, שהוא בעצם רוטקיט זדוני!

על מנת לגלות את הרוטקיט, תוכנות הסריקה רצות על מערכת ההפעלה באופן חשאי,
ומשתמשות בטקטיקות שונות לאיתורם, למשל, במקום לסרוק את הריגסטרי, הן מצלמות אותו
ולאחר מכן משוות רשומה, רשומה מול ה- API של וינדוס, מה שאמור להיות נסתר מהראדר
של הרוטקיט.
שורה תחתונה
רוטקיט הוא שקרן גדול, לא נוכל אף פעם להיות בטוחים שהרוטקיטלא קיים במערכת.
הבעיה שהרוטקיט של היום הוא לא הרוטקיט שלפני שנה, כותבי הרוטקיט מודעים לקיומם של
תוכנות האנטי-רוטקיט לקחו בחשבון שיבוצעו ניסיונות לאתר אותם.
הרוטקיט של היום הרבה יותר מתוחכם, הוא יודע להסתנן לדרייברים של רכיבי החומרה במחשב
(מעבד, כרטיסים, firmware), ולשכון שם מבלי שיבחינו בו.
לכן לא קיימת תוכנת אנטי-רוטקיט מושלמת אך למזלנו לא קיים גם רוטקיט מושלם.
להתבונן על מערכת ההפעלה מלמעלה.
תוכנות כגון אנטי וירוס וחומות אש מכניסות את עצמם שכבה אחת לפני מערכת ההפעלה
אותה שכבה שרוט-קיט שוכן בה , כאשר הסביבה הזו מקנה להםאפשרות להתבונן על פעולות המערכת
מ"למעלה "כך שהם יכולות לבצע מניפולציות שונות על מערכת ההפעלה מבלי שנבחין.
רוטקיט כשלעצמו הוא לא וירוס או תוכנת ריגול אלא טכנולוגיה שבה משתמשים על מנת
להסתיר תוכנות על מערכת ההפעלה, מניפולציה לוינדוס.
דוגמה של ניצול לרעה של רוטקיט:
תוכנות רבות משתמשות בטכנולוגית הרטוקיט על מנת ליצור מנגנון רישוי לתוכנה שלהם.
הבעיה בכל הסיפור היא שמשתמשים לא אוהבים שמרגלים אחריהם ומחשיבים את זה
כניצול רע של התוכנה ==
הסיפור המופרסם ביותר הוא על Sony, החברה ששחררה דיסק מוזיקה שבתוכו הסתתר לו
רוטקיט זדוני אשר לא איפשר שכפולים והעתקות של הדיסק.
ראה גם: רשימה עדכנית של רוטקיט זדוניים.
במידה ושוכן לו רוטקיט על מערכת ההפעלה (דבר ראשון נבטל את ה- system restore),
לא נצליח לאתר אותו ע"י מנהל המשימות או ע"י סיור בקבצים של וינדוס, במילים אחרות-
הרוטקיט רץ מתחת לראדר של מערכת ההפעלה (hidden threats) החלק המעניין ביותר הוא,
איך הוא עושה את זה?
תוכנות אלו מתלבשות על שכבה שלפני מערכת ההפעלה כך שהיישומים הרצים במחשב לא מודעים
לקיומם, אחרת לא הייתה שום משמעות לתוכנות כמו פיירוול או אנטי ווירוס.

היתרון הגדול של כלי ה-Root-Kit, שהוא יודע לשקר ליישומים אשר מחפשים אותו.
לדוגמה, כשאנחנו מחפשים קובץ מסוים על המחשב (Ctrl+F) נשלחת פקודה ע"י מערכת ההפעלה
לחפש קובץ, קובץ, עד שהיא תאתר את הקובץ המבוקש, זה מתבצע ע"י מנגנון "מצא ראשון, מצא שני".
כלומר, "find first , find next", מערכת ההפעלה נוגעת בסקטור על הדיסק ושואלת האם הקובץ
שאני מחפשת מצוי אצלך? התשובה יכולה להיות, כן בבקשה, קבלי או תמשיכי הלאה,
אני לא יודע על מה את מדברת!

האזנה לפודקאסט-רוטקיט.בעברית { ממליץ לכל אחד להאזין, להקליט ולשמור}
ובנוסף למביני אנגלית
פודקאסטים בהנחיית ליאו לפורטה
LIVE-CD מאפשר להתבונן על מערכת ההפעלה מלמעלה מבלי שהיא תבחין שאנחנו קיימים
ובכך לאתר ולהסיר את הקבצים החשודים במחשב.
הכנת ד יסק-הצלה היא הדרך היחידה הבטוחה להיפטר מתוכנות ריגול מהסוג המתקדם, וירוסים אכזריים
במיוחד ורוטקיט (root-kit).

המטרה המרכזית בלהכין דיסק LIVE-CD היא כדי להציל את מערכת ההפעלה
ממקרי כשל שונים, נושא "איתור של תוכנות ריגול כגון רות-קיט" היא פונקציה נוספת שנוכל לנצל
כאשר נכין Live-cd

כלי הימנעות מהדבקות ברוטקיט:


  1. Processguard
    מאפשר הגנה בפני תוכנות ריגול פולשניות במיוחד ע"י מניעת     process injection
  2. Hypersight Rootkit Detector
    מגן על מערכת ההפעלה ברמות הנמוכות ביותר.
  3. Online Armor- פיירוול המאפשר הגנה מקיפה על מערכת ההפעלה ודואג שיישומים זדונים
    לא ירוצו על המערכת.




סורקי אנטי רוטקיט נוספים



  1. Catchme- בדיקה לכל סוגי הרוטקיט מ- kernel mode rootkits.
  2. GMER- שייך לאותה משפחה כמו catchme עובד על xp וויסטה.
    כדי להסיר רוטקיט שנמצע על המערכת, קליק ימני, מחק.







  1. Helios- מזהה סוגים רבים של רוטקיט, כולל kernel mode rootkits (וידאו).
  2. Hook Analyzer -מחפש "הוקים" במערכת ("הוקיים" נחשבים הקשים ביותר לאיתור).



סריקה כללית לכל התוכנות
אין-כל התוכנות מאתר הבית הרשמי.


שימו לב!!!!
מרביתן אינן תואמות חלונות 7 לכן בצעו "תאימות לאחור"


קרדיט ל-itbananas על הסיקור.
מקור