Een rootkit is verdachte software niet omdat het aanvallen of toebrengt schade aan een computer , maar omdat het nestelt zich diep in het besturingssysteem van de computer , waardoor het moeilijk te detecteren . Het verbergt zich in systeemmappen en subtiel verandert register-instellingen om het te laten verschijnen als een legitiem bestand . Is het niet veel doen behalve verbergen en wachten op een externe opdracht uit een gebruiker of programma om het te activeren . Er zijn momenteel vier bekende soorten rootkits . Aanhoudende Rootkits
Aanhoudende rootkits
activeren tijdens het opnieuw opstarten . Typisch , een hardnekkige rootkit verbergt in de startup register, dat Windows laadt elke keer dat de computer opnieuw wordt opgestart . Het is moeilijk op te sporen omdat het bootst acties van geldige computerbestanden en het uitvoert zonder tussenkomst van de gebruiker . Virussen en andere schadelijke software kunnen meeliften op een hardnekkige rootkit omdat , afgezien van dat moeilijk te vinden , het gaat niet weg wanneer een computer wordt afgesloten .
Memory - based Rootkits
< br > tegenstelling tot hardnekkige rootkits , wordt een geheugen - gebaseerde rootkit gedeactiveerd wanneer een computer opnieuw wordt opgestart . Memory - based rootkits nestelen zich in het RAM van de computer ( random-access memory ) . Het RAM-geheugen is de tijdelijke ruimte die programma's zoals Microsoft Word , Excel , Outlook en webbrowsers bezetten wanneer deze programma's openstaan . Wanneer u een programma opent , de computer wijst een ruimte in het RAM-geheugen . Wanneer u het programma af te sluiten , de computer releases die adresruimte voor andere programma's te gebruiken . De geheugen - gebaseerde rootkit doet hetzelfde . Het beslaat een adresruimte in het RAM-geheugen . Wanneer een computer wordt afgesloten , worden alle programma's gesloten zijn , waarvan de herinnering ruimtes leegt , met inbegrip van de rootkit .
Gebruiker -mode rootkits
Een user-mode rootkit infiltreert het besturingssysteem nog dieper . Het slaat zich in verborgen systeemmappen en het register en voert de taken uitgevoerd door geldige systeembestanden . Een manier om het ontwijkt detectie is dat het slim de software die anders zou kunnen detecteren. De user-mode rootkit kan zich insluiten in een programma dat scant op virussen . Wanneer het programma loopt , de rootkit slim die actie alsof het de ene de scan doet . In plaats van het programma terugsturen van een detectie , het
terugkeert niets .
Kernel -mode rootkits Een kernel -mode rootkit is nog gevaarlijker dan een user-mode rootkit . User-mode rootkits onderscheppen geldige software tot een ander resultaat terugkeren, maar ze lopen nog steeds processen die kunnen worden gedetecteerd . Een kernel -mode rootkit verbergt zich door het verwijderen van de processen die ermee verbonden zijn . Dit maakt detectie moeilijker , want het is alsof de kernel -mode rootkit bestaat niet . Het zal niet te zien in de Task Manager of andere software die alle processen die in de computer geeft . Detectie van kernel -mode rootkits gaat om een geavanceerde techniek van het vinden van verschillen tussen het systeem register .
|
