خوب یه تعریف ساده :
عمده تقسیم بندی یه روتکیت به 2 شکل هست یکی kernel mode و یکی OS mode . سری اولی مثل یه سوپی می مونه که اجزایی اون سمی باشه مثلا قارچ سمی توش پخته شده باشه اما سری دومی مثل یه سوپی می مونه که توش سم ریخته شده باشه.
چون تاپیک امنیتی هست اول روش های شناخت و راهکار های مقابله را می گم :
همیشه Rootkit scanner ها و کلا نرم افزارها و defence هایی که موجو د است برای مقابله به این شکل program میشن:
1-اینکه با مقایسه MD5 checksum ها
2- فایل های پیشفرضی که rootkit ها به موجود میارن یا لازمه اجرا آنها هست مثل:
55808 Trojan - Variant A
ADM W0rm
AjaKit
aPa Kit
Apache Worm
Ambient (ark) Rootkit
Balaur Rootkit
BeastKit
beX2
BOBKit
CiNIK Worm (Slapper.B variant)
Danny-Boy's Abuse Kit
Devil RootKit
Dica
Dreams Rootkit
Duarawkz Rootkit
Flea Linux Rootkit
FreeBSD Rootkit
Fuck`it Rootkit
GasKit
Heroin LKM
HjC Rootkit
ignoKit
ImperalsS-FBRK
Irix Rootkit
Kitko
Knark
Li0n Worm
Lockit / LJK2
mod_rootme (Apache backdoor)
MRK
Ni0 Rootkit
NSDAP (RootKit for SunOS)
Optic Kit (Tux)
Oz Rootkit
Portacelo
R3dstorm Toolkit
RH-Sharpe's rootkit
RSHA's rootkit
Scalper Worm
Shutdown
SHV4 Rootkit
SHV5 Rootkit
Sin Rootkit
Slapper
Sneakin Rootkit
Suckit
SunOS Rootkit
Superkit
TBD (Telnet BackDoor)
TeLeKiT
T0rn Rootkit
Trojanit Kit
URK (Universal RootKit)
VcKit
Volc Rootkit
X-Org SunOS Rootkit
zaRwT.KiT Rootkit
3-پرمیشن های فایل ها
4-چک کردن یکسری string ها یا رشته های آلوده که ممکنه در ماژول های LKM یا KLD بوجود اومده باشن.
5-فایل های مخفی
6-چک کردن و اسکن در فایل های باینری و plaintext ها
و .....
4 نوع روتکیت داریم :
1-روتکیت های ماندگار (Persistent Rootkits)
یه حالتی دارن که توی پروسه ها و دایمون هایی که در Startup سیستم و background باید اجرا بشن قرار دارن و معمولا یه سری کد هست که باید یعد از هر بار راه اندازی run بشن.
2-روتکیت های مبتنی بر حافظه اصلی(Memory-Based Rootkits)
اینا temperory هستن و بیشتر مخصوص سرورها.
3-روتکیت های در حد مود کاربری و سیستم عامل User-mode Rootkits
معمولا برای سیستم های ویندوزی نوشته میشن و بیشتر با service ها و API های تحت کرنل کار می کنن . گاهی وقتا هم در بطن IE و CMD یا هر app تحت ویندوز یا لینوکس خوابیدن.اما این سری بیشتر برای ویندوز هستن.
4-روتکیت های تحت هسته (kernel-mode rootkits)
خطرناک ترینشون این نامردا هستن.
بیشتر با ساختار پردازشی و متد های process injection کار می کنن به این شکل که یه پروسه پدر را فرض کنید که اینا خود را در زیرمجموعه یا Child های اون جامیزنن و گاهی وقتا هم تحت یک پروسه مورد اطمینان که known شده run میشن و حتی گاهی موارد با اجرا کرد فلان فرمانی که باید پروسه 1 را صدا بزنه با همکاری این دوستان پروسه 2 صدا زده میشه.
كدام موضوع لينوكس شما را بيشتر جذب ميكند؟ 