Rootkit - mối nguy hiểm tiềm tàng Khái niệm rootkit được sử dụng để mô tả các cơ chế và kĩ thuật được sử dụng bởi malware malware là các phần mềm làm sai chức năng chương trình ứng dụng
Trang 1Rootkit - mối nguy hiểm tiềm tàng
Khái niệm rootkit được sử dụng để mô tả các cơ chế và kĩ thuật được sử dụng bởi malware (malware là các phần mềm làm sai chức năng chương trình ứng dụng gồm: virus, spyware, và trojan ) cố gắng ẩn nấp, trốn tránh không bị phát hiện bởi các chương trình chống spyware, virus và các tiện ích hệ thống Thực ra, rootkit tự bản thân không mang tính hiểm độc nhưng khi chúng được sử dụng cùng với các chương trình mang tính "phá hoại" như: virus, sâu, phần mềm gián điệp, trojan thì lại nguy hiểm hơn rất nhiều
Rootkit thực tế chẳng gây ảnh hưởng xấu nào Mục đính duy nhất của rootkit là ẩn nấp, và tránh không bị phát hiện Tuy nhiên, rootkit được sử dụng để giấu các đoạn mã hiểm độc thì rất nguy hiểm Một số các sâu, virus, trojan và phần mềm gián điệp vẫn có khả năng duy trì hoạt động và không bị phát hiện khi sử dụng rootkit Các malware sẽ không bị phát hiện thậm chí khi hệ thống được bảo vệ bởi các chương trình chống virus tốt nhất Do đó, Rootkit thực sự là mối đe dọa rất
Thực ra, hiện nay chỉ có một vài các phần mềm gián điệp và virus sử dụng rootkit
để lẩn trốn Một trong những ví dụ điển hình là sử dụng rootkit để xâm nhập hệ thống là vụ ăn trộm mã nguồn trò chơi nổi tiếng Half-Life 2
Rootkit được sử dụng phổ biến trong các phần mềm gián điệp hơn là các virus Một điều chắc chắn là rootkit vẫn là kĩ thuật còn đang phát triển, chưa có nhiều
Trang 2trong thực tế, nên mối đe dọa hiện tại của rootkit không lớn lắm so với những mối
Rootkit được phân loại dựa trên sự duy trì sau khi khởi động lại hoặc hoạt động ở chế độ người dùng (user mode) hay ở chế độ cấp hệ thống (kernel mode)
Rootkit bám dai (Persistent Rootkits)
Persistent root kit là một loại rootkit kết hợp với các malware khác hoạt động mỗi khi hệ thống khởi động Bởi vì các malware chứa mã phá hoại sẽ được thực thi tự động mỗi khi hệ thống khởi động hoặc khi người sử dụng đăng nhập vào hệ thống Chúng cần phải lưu trữ các đoạn mã thực thi chương trình trong Registry, các tập tin hệ thống và các phương pháp cho phép âm thầm chạy các đoạn mã mà người
Rootkit trên bộ nhớ (Memory-Based Rootkits )
Loại rootkit này chính là các malware không có những đoạn mã "dai dẳng" - chỉ lưu trong bộ nhớ, chính vì thế loại rootkit này không tồn tại sau khi khởi động lại máy
Rootkit chế độ người dùng (User-mode Rootkits)
Rootkit ở chế độ người dùng sử dụng nhiều phương pháp khác nhau để lẩn trốn không bị phát hiện Ví dụ: rootkit ở chế độ người dùng sẽ chặn tất cả các hàm gọi
hệ thống API (Application Programming Interface - Giao tiếp lập trình ứng dụng) như: FindFirstFile/FindNextFile Những hàm này được gọi bởi các chương trình
Trang 3quản lý tập tin của Windows như Explorer và dấu đợi lệnh, để liệt kê toàn bộ các thư mục tập tin hệ thống Khi một ứng dụng thực thi liệt kê danh sách thư mục và các tập tin có thể chứa rootkit, các rootkit này sẽ chặn các hàm này và thay đổi các kết quả dữ liệu đầu ra nhằm loại bỏ các tập tin chứa rootkit khỏi danh sách liệt kê
Các hàm API hệ thống của Windows cung cấp giao tiếp (interface) giữa chế độ người dùng và dịch vụ hệ thống Những rootkit ở chế độ người dùng phức tạp hơn
sẽ chặn các tập tin hệ thống, Registry, và các hàm liệt kê các tiến trình (process) từ các hàm API hệ thống Do đó, mọi sự phát hiện bởi các chương trình quét tập tin
mà lấy kết quả từ các hàm liệt kê API của Windows đều bị thay đổi Chính vì lẽ
đó, hầu hết các chương trình diệt virus, spyware không thể phát hiện được rootkit