روتکیت ها، بدافزارهایی پنهان
در اصل، در محتوای انواع سیستم های یونیکس، یک روتکیت به گروهی از ابزارها اطلاق می شود که متعلق به خود سیستم عامل است مانند پسورد و...، و توسط یک هکر یا یک مزاحم برای دسترسی نامحدود به مدیریت سیستم ایجاد شده است. به روتکیت ها نرم افزارهای مخرب نامرئی نیز گفته می شود.
روت کیت ها یکی از قدرتمندترین و هوشمندترین ویروس های جاسوسی هستند.
روتکیت های ویندوز برنامه هایی هستند که از عناصر معین سیستم مانند فایل ها، آدرس حافظه، اتصلات شبکه و ... و یا خود سیستم عامل پنهان هستند. روتکیت ها می توانند رفتار سیستم عامل آلوده را تغییر دهند و همچنین نرم افزارهای مخربی را به سیستم اضافه کنند.
در انواع اصطلاحات سیستم عامل یونیکس به مدیر سیستم ریشه گفته می شود، بر همین اساس به این ابزارها که پنهان هستند و دسترسی به ریشه دارند را روتکیت می نامند. در طول سال های اخیر، روتکیت ها با افزایش فرکانس به مخفی کردن تروجان ها و یا علائم خطرناک دیگر می پردازند.
روتکیت ها با چسبیدن به فایل های exe باعث ایجاد مشکل در پردازش داده ها و نرم افزارها می شوند.
این تعریف نشان دهنده مخرب بودن کامل این برنامه ها نیست بلکه آن ها می توانند هم برای هدف های سازنده به کار روند و هم برای هدف های مخرب.
در سیستم های یونیکس از روتکیت ها به منظور دسترسی دائم به رایانه های که در راه دور هستند و قبلا دچار مشکل شده اند، استفاده می شود. به عنوان مثال می توان به رایانه هایی اشاره کرد که قبلا بر روی آن ها درب های پشتی (backdoors) نصب شده است. به عبارتی می توان گفت روتکیت ها برای مخفی کردن و یا محافظت از نرم افزارهای مخرب در حال اجرا بر روی سیستم های آلوده هستند.
در سیستم های ویندوز نیز هدف وجود روتکیت ها مانند قبل است. به عنوان مثال برای پنهان کردن عناصر دیگر در رایانه، به طوری که در رایانه وجود دارند اما مکان و چگونگی اجرای آن ها از چشم کاربر و حتی نرم افزارهای امنیتی خود سیستم به صورت کشف نشده باقی می ماند. در صورتی که این عناصر ویروس باشند صاحب رایانه با مشکلات جدی رو به رو خواهد شد. برخی اوقات روتکیت ها به آنتی ویروس نیز حمله کرده و فعالیت آن را مختل می کنند.
روتکیت ها به روش های زیر می توانند خود را پنهان کنند:
** روتکیت ها کدهای خود را با کدهای سیستم عامل که در سطوح پایین هستند ادغام می کنند و با این کار می توانند به تمام درخواست های سیستم مثل خواندن فایل ها، پردازش های در حال اجرا و ... دسترسی داشته باشند.
** در روش دیگر روتکیت ها کدهای مخرب خود را به پردازش های سالم منتقل می کنند و با انجام این کار می توانند از حافظه ای که در اختیار پردازش مورد نظر است برای انجام فعالیت های مخرب خود استفاده کنند.
از روش های زیر می توان برای شناسایی روتکیت ها در سیستم استفاده کرد:
- اکتشاف و یا تشخیص مبتنی بر رفتار: در صورتی که در رایانه خود با رفتارها و یا عملکردهای متفاوت رو به رو شدید، می توانید بر وجود روتکیت ها شک کنید. (شناسایی روت کیت ها با شناخت هر گونه تغییر و یا خطا در فعالیت عادی رایانه)
- استفاده از برنامه های امنیتی قوی: تمامی آنتی ویروس ها دارای قدرت تشخیص بالایی نیستند اما استفاده از یک برنامه های امنیتی با کاربردهای قوی که دائما فایل های شما را زیر نظر داشته باشد، می تواند کمک زیادی به شما کند. البته برای بالا بردن قدرت تشخیص و شناسایی آنتی ویروس ها از کلاود کامپیوتینگ ها (Cloud Computing) در کنار آن ها استفاده می کنند.
باید دقت داشته باشید آنتی ویروسی که استفاده می کنید قابلیت محافظت (Self-Protection) از خود را در برابر روتکیت ها داشته باشد. همچنین آنتی ویروس شما می بایست با کیفیت بالایی عملیات پاکسازی را انجام دهد. (توجه کنید که پاکسازی با حذف فرق دارد)
البته در هر یک از تکنیکهای بالا محدودیت هایی وجود دارد به همین دلیل به ادغام این فناوری ها توصیه شده است. به همین دلیل حفاظت از رایانه در برابر روتکیت ها تنها با یک سری از اقدامات و محافظت های عمومی امکان پذیر نیست. به منظور کمک به کاربران برای تشخیص روتکیت ها در رایانه و حذف آن، نرم افزار ضد روتکیت پاندا نیز ارائه شده است.
فائزه خاموشی بخش دانش و زندگی تبیان
منابع
Rootkits: almost invisible malware
How to Fight Rootkits "By Denis Makrushin"
kb.eset