Rootkit
מתוך ויקיפדיה, האנציקלופדיה החופשית
| יש לפשט ערך זה זהו ערך טוב, אך הוא מנוסח באופן טכני מידי, וקשה להבנה לקהל הרחב. יש להוסיף לערך זה מבוא אינטואיטיבי שיסביר את הרעיונות והמושגים בערך בצורה פשוטה יותר, רצוי בליווי דוגמאות. אם אתם סבורים כי הערך אינו ברור דיו או שיש נקודה שאינכם מבינים בו, ציינו זאת בדף השיחה שלו. יש לציין כי ערכים מדעיים רבים מצריכים רקע מוקדם. |
| ערך זה זקוק לעריכה, על מנת שיתאים לסגנון המקובל בוויקיפדיה. לצורך זה ייתכנו סיבות אחדות: פגמים טכניים כגון מיעוט קישורים פנימיים, סגנון הטעון שיפור או צורך בהגהה. אם אתם סבורים כי אין בדף בעיה, ניתן לציין זאת בדף השיחה שלו. |
תוכן עניינים |
[עריכה] הגדרה
Rootkit הוא תוכנה, או סט של תוכנות אשר נועדו לאפשר הסתרה של תהליכים, ו/או קבצים, ו/או שינויי תוכן של קבצים (כגון שינויים בערכי רישום), ממתחזק המחשב. ככלל (אבל לא תמיד), למטרות של הסתרת פעילויות לא לגיטימיות במחשב (ריגול, השתלטות, וכדומה), ללא ידיעת בעלי המחשב.
[עריכה] מקור
המונח " Rootkit" נוצר במקור במערכות יוניקס אשר בהם המונח "Root" מציין חשבון עם הרשאות מקסימליות ב- Unix. אולם המונח לא מוגבל ליוניקס בלבד וכיום הוא מתאר גם תוכנות דומות במערכות שהן לא יוניקס ,כגון חלונות ,גם אם אין בהן חשבון משתמש "Root".
[עריכה] סוגי Rootkit
נוהגים להבחין בין שני סוגי Rootkit עיקרים : user-land rootkit (קרוי גם user level rootkit), ו- Kernel rootkit .
User-land rootkit בא לתאר Rootkit אשר מסתיר את עצמו מעיני המשתמש על ידי שיבוש של פונקציות של מערכת ההפעלה( Application Programming Interface) .
Kernel Rootkit בא לתאר Rootkit אשר משבש את פונקציות השירות ברמת הליבה ( ליבת מערכת ההפעלה) של המערכת.
[עריכה] השימוש ב Rootkit
Rookit בהרבה מקרים משמשים לצורך השתלטות עוינת על מחשב והחזקת השליטה בו לאורך זמן, אם לשם הסתרת רכיבי ריגול, ואם לשם הסתרת דלתות אחוריות.
אולם גם קיימים שימושים אחרים ל Rootkit . Rootkit שהתפרסם לאחרונה ואשר ידוע כ Sony CD Copy Protection בא להגן על התקליטורים של סוני מפני העתקות . הדבר יצר מהומה רבה וסוני אולצה להסיר את ה Rootkit מתקליטוריה. דוגמה הפוכה, היא שימוש ברוטקיט על מנת לעקוף הגנות DRM.
[עריכה] גילוי וזיהוי Rootkit
יש מגוון שיטות איך לזהות ולגלות Rootkit :
יש תוכנות אשר משוות בין הפלט של קריאה לפונקציות של התוכנה לבין הפלט של הקריאה לפונקציות של ליבת מערכת ההפעלה . השוואה בין הפלטים יכולה לרמוז על שיבוש של פונקציה או מספר פונקציות על ידי Rootkit שחדר למערכת . דוגמה לתוכנה שעובדת בשיטה כזו היא RootkitRevealer של Sysinternals .
יש תוכנות אשר מנסות לזהות שינוים בפונקציות של המערכת ובודקות האם הפונקציות האלה שוכתבו על ידי קוד זדוני אשר מנסה לשבש את פעולתם . דוגמה לתוכנה כזו היא BlackLight של חברת F-secure .
כמו כן קיימות תוכנות אשר מנסות לזהות שינויים בקובצי מערכת רגישים על ידי שימוש ב "טביעות-אצבע" (Fingertips ) של הקבצים וחישוב ערכי ה hash של כל קובץ . דוגמה לתוכנה כזו היא Tripwire אשר נפוצה במערכת יוניקס ולינוקס.

