Co je to Rootkit?

Posted in: Uncategorized, Zajímavé článkyTags: , , , , , , , , , , , , , ,
Rootkit

Rootkit kryje špióna

Rootkit je pojem, který se ve spojitosti s operačním systémem Windows společnosti Microsoft objevil až nedávno. Původně jde o pojem z UNIXového světa, kde byly tímto pojmem označovány programy, které umožnily hackerovi zakrýt nekalou činnost, kterou prováděl. Za tímto účelem byly některé systémové programy (login, ls…) a systémové knihovny (typicky libproc.a) nahrazeny, popř. bylo využito možností modulů kernelu.

Jednoduše řečeno, Rootkit je program, který se snaží zamaskovat vlastní přítomnost v PC (přítomnost souborů, změn v registru Windows…), popř. přítomnost jiných aplikací v PC.

Bližší informace o rootkitech lze najít například zde, ale na Internetu existují samozřejmě daleko podrobnější informace. Stačí jen trochu „zagůglovat“.

Typická otázka: dokáže můj antivirus detekovat rootkity?

Odpověď: Ano i ne.
Je si nutné uvědomit, že rootkit je klasickým programem a jako každý jiný program se musí do PC dostat ve formě souboru, který uživatel stáhne např. z Internetu a to ať už samostatně, nebo jako součást jiného, „mírumilovně“ se tvářícího programu. Hledání havěti v souborech je pochopitelně hlavní náplní všech antivirových systémů, takže nic nebrání tomu, aby byla v těchto souborech detekována i havěť typu rootkit. Vlastnostmi může rootkit připomínat trojského koně, takže není potřeba antivirový systém ani nějak přizpůsobovat detekci rootkitů. Stačí pouze, aby antivirová společnost vydávala i aktualizace, konkrétně signatury pro detekci známých rootkitů. To se ve většině případů i děje, takže v tomto případě lze prohlásit: ANO, antiviry dokážou detekovat rootkity.

Může ale nastat situace, kdy rootkit již běží (tj. je spuštěn - aktivován – uživatel ho spustil jako každý jiný program) v systému, např. z důvodu, že prošel skrze antivirový systém, který daný exemplář
rootkitu nezná / neznal, popř. že antivirový systém nebyl vůbec nainstalován. Pokud je rootkit opravdu kvalitní a dokáže se tak dokonale maskovat, nemusí ho antivirový systém v PC detekovat, ačkoliv
ho za jiných okolností zná (typicky při stahování rootkitu z Internetu, popř. při pokusu o spuštění – aktivaci rootkitu). V tomto případě lze tedy prohlásit, že: NE, antiviry nedokážou detekovat rootkity.