Bạn đã từng nghe nói về rootkit ở đâu đó? Bạn ko thực sự hiểu rõ rootkit là gì? Rootkit sở hữu phải là một loại worm, virus hay trojan? Rootkit sở hữu thực sự nguy hiểm?… Trong bài viết này, chúng tôi sẽ giải đáp giúp bạn đọc những thắc mắc về rootkit, đồng thời giới thiệu một số ứng dụng miễn phí giúp bạn “hạ gục nhanh tiêu diệt gọn” rootkit.
Mục lục
Rootkit là gì?
Rootkit là một chương trình máy tính bí mật được thiết kế để cung cấp truy cập đặc quyền liên tục vào máy tính, đồng thời chủ động che giấu sự hiện diện của nó.
Thuật ngữ rootkit là sự kết hợp của hai từ “root” và “kit”. Ban đầu, rootkit là một tập hợp những công cụ cho phép quyền truy cập ở mức admin vào máy tính hoặc mạng. Root nhắc tới tài khoản admin trên những hệ thống Unix/Linux và kit nhắc tới những thành phần ứng dụng triển khai công cụ. Ngày nay, rootkit thường được liên kết với ứng dụng độc hại – như trojan, worm, virus – che giấu sự tồn tại và hành động của chúng khỏi người sử dụng, cũng như những tiến trình hệ thống khác.
Rootkit sở hữu thể làm gì?
Một rootkit cho phép ai đó duy trì lệnh và kiểm soát máy tính mà người sử dụng/chủ sở hữu máy tính ko hề hay biết. Khi rootkit đã được cài đặt, trình điều lúcển (controller) của rootkit sở hữu khả năng thực thi từ xa những file và thay đổi cấu hình hệ thống trên máy chủ. Một rootkit trên máy tính bị nhiễm cũng sở hữu thể truy cập những file nhật ký và theo dõi việc sử dụng hợp pháp của chủ sở hữu máy tính.
Các loại rootkit
Có một số loại rootkit khác nhau với nhữngh lây nhiễm, vận hành hoặc tồn tại trên hệ thống đích đặc trưng.
- Kernel mode rootkit được thiết kế để thay đổi chức năng của nền tảng sử dụng. Loại rootkit này thường thêm code riêng của nó – và, đôi lúc là cả cấu trúc dữ liệu – vào những phần của kernel. Nhiều kernel mode rootkit khai thác thực tế là những nền tảng sử dụng cho phép driver thiết bị hoặc những mô-đun sở hữu thể load thực thi với cùng mức đặc quyền hệ thống như kernel, vì vậy những rootkit được đóng gói dưới dạng driver hoặc mô-đun để tránh bị ứng dụng diệt virus phát hiện.
- User mode rootkit, đôi lúc còn được gọi là rootkit ứng dụng, thực thi theo nhữngh tương tự như một chương trình người sử dụng thông thường. User mode rootkit sở hữu thể được khởi tạo như những chương trình thông thường khác trong quá trình khởi động hệ thống, hoặc chúng sở hữu thể được đưa vào hệ thống bởi một dropper (chương trình được thiết kế để cài đặt một số loại virus vào hệ thống muốn lây nhiễm). Phương pháp phụ thuộc vào nền tảng sử dụng. Ví dụ, một rootkit Windows thường tập trung vào điều lúcển chức năng cơ bản của những file DLL trong Windows, nhưng trong một hệ thống Unix, toàn bộ ứng dụng sở hữu thể được thay thế hoàn toàn bởi rootkit.
- Bootkit, hoặc bootloader rootkit, lây nhiễm vào Master Boot Record của ổ cứng hoặc thiết bị lưu trữ khác được kết nối với hệ thống đích. Bootkit sở hữu thể phá hoại quá trình khởi động và duy trì quyền kiểm soát hệ thống sau lúc khởi động, do đó, đã được sử dụng thành công để tấn công những hệ thống sử dụng mã hóa toàn bộ ổ đĩa.
- Firmware rootkit tận dụng ứng dụng được nhúng trong firmware hệ thống và tự cài đặt trong image firmware, được sử dụng bởi card mạng, BIOS, router hoặc những thiết bị ngoại vi khác.
- Hầu hết những loại nhiễm rootkit sở hữu thể tồn tại trong hệ thống suốt một thời gian dài, vì chúng tự cài đặt trên những thiết bị lưu trữ hệ thống vĩnh viễn, nhưng memory rootkit lại tự load vào bộ nhớ máy tính (RAM). Memory rootkit chỉ tồn tại cho tới lúc RAM hệ thống bị xóa, thường là sau lúc máy tính được khởi động lại.
Làm sao để phát hiện rootkit?
Rất khó để phát hiện rootkit. Không sở hữu sản phẩm thương mại sở hữu sẵn sở hữu thể tìm và loại bỏ tất cả những rootkit đã biết và chưa biết. Có nhiều nhữngh khác nhau để tìm rootkit trên máy tính bị nhiễm. Những nhữngh phát hiện bao gồm những phương pháp dựa trên hành vi (ví dụ, tìm kiếm hành vi lạ trên hệ thống máy tính), quét chữ ký và phân tích memory dump. Thông thường, tùy tìm duy nhất để loại bỏ rootkit là build lại hoàn toàn hệ thống bị xâm nhập.
Bảo vệ hệ thống chống lại rootkit
Nhiều rootkit xâm nhập hệ thống máy tính bằng nhữngh gắn với ứng dụng mà bạn tin tưởng hoặc với virus. Bạn sở hữu thể bảo vệ hệ thống của mình khỏi rootkit bằng nhữngh đảm bảo nó được vá với những lỗ hổng đã biết, bao gồm những bản vá cho nền tảng sử dụng, ứng dụng và cập nhật định nghĩa virus. Không chấp nhận file hoặc mở file đính kèm email từ những nguồn ko xác định. Hãy chu đáo lúc cài đặt ứng dụng và đọc kỹ những thỏa thuận cấp phép đối với người sử dụng cuối.
Phân tích tĩnh (Static analysis) sở hữu thể phát hiện những backdoor và việc chèn thêm phần độc hại khác như rootkit. Những nhà phát triển doanh nghiệp cũng như bộ phận CNTT cần mua ứng dụng sở hữu thể quét ứng dụng để phát hiện những mối đe dọa, bao gồm những backdoor “vượt trội” và chứa “thông tin ẩn”.
Để loại bỏ rootkit, bạn đọc tham khảo bài viết: Những công cụ Anti-Rootkit cần và nên sở hữu trong hệ thống để biết thêm yếu tố.
Các bạn đang xem tin tức tại Sưu tầm 24h – Chúc những bạn một ngày vui vẻ
Từ khóa: Rootkit là gì? Có những loại rootkit nào?
