Kit canggih deteksi utilitas akarRootkitRevealer adalah root kit utilitas pendeteksi terbaru. Ini berjalan pada Windows NT 4 dan lebih tinggi dan outputnya daftar Registry dan perbedaan berkas API sistem yang dapat mengindikasikan kehadiran rootkit user-mode atau mode kernel.RootkitRevealer berhasil dapat mendeteksi semua rootkit gigih diterbitkan di www.rootkit.com, termasuk Vanquish, AFX dan HackerDefender (catatan: RootkitRevealer tidak dimaksudkan untuk mendeteksi rootkit seperti Fu yang tidak berusaha untuk menyembunyikan file atau kunci registri).
Rootkit istilah digunakan untuk menggambarkan mekanisme dan teknik dimana malware, termasuk virus, spyware, dan trojan, mencoba untuk menyembunyikan kehadiran mereka dari spyware blocker, antivirus, dan utilitas sistem manajemen. Ada beberapa klasifikasi rootkit tergantung pada apakah malware bertahan reboot dan apakah dijalankan dalam modus user atau mode kernel.Persistent RootkitSebuah rootkit gigih adalah salah satu yang terkait dengan malware yang mengaktifkan setiap kali sistem boot. Karena malware tersebut berisi kode yang harus dijalankan secara otomatis setiap sistem mulai atau ketika pengguna log in, mereka harus menyimpan kode di toko persisten, seperti Registry atau file system, dan mengkonfigurasi metode yang kode mengeksekusi tanpa campur tangan pengguna.Memory-Based RootkitMemory berbasis rootkit adalah malware yang tidak memiliki kode gigih dan karena itu tidak bertahan reboot.User-mode RootkitsAda banyak metode dimana rootkit berusaha untuk menghindari deteksi. Sebagai contoh, rootkit user-mode mungkin mencegat semua panggilan ke Windows FindFirstFile / FindNextFile API, yang digunakan oleh utilitas eksplorasi file sistem, termasuk Explorer dan command prompt untuk menghitung isi direktori sistem file. Bila aplikasi yang melakukan daftar direktori yang seharusnya memberikan hasil yang berisi entri mengidentifikasi file yang terkait dengan rootkit, menyadap rootkit dan memodifikasi output untuk menghapus entri.Windows asli API berfungsi sebagai interface antara user-mode klien dan kernel-mode layanan dan lebih canggih user-mode rootkit mencegat sistem file, Registry, dan fungsi pencacahan proses API asli. Hal ini untuk mencegah deteksi mereka dengan scanner yang membandingkan hasil pencacahan Windows API dengan yang dikembalikan oleh sebuah enumerasi API asli.Kernel-mode RootkitsKernel-mode rootkit dapat menjadi lebih kuat karena, tidak hanya bisa mereka mencegat API asli di kernel-mode, tetapi mereka juga dapat langsung memanipulasi mode kernel struktur data. Teknik umum untuk menyembunyikan keberadaan dari sebuah proses malware adalah untuk menghapus proses dari daftar kernel dari proses yang aktif. Karena proses manajemen API mengandalkan isi daftar, proses malware tidak akan ditampilkan di alat manajemen proses seperti Task Manager atau Process Explorer.
Posting Komentar