ROOTKIT.CZ: Úvod

Reklama

Článek

Úvod

Rootkit je pojem, který se ve spojitosti s operačním systémem Windows společnosti Microsoft objevil až nedávno. Původně jde o pojem z UNIXového světa, kde byly tímto pojmem označovány programy, které umožnily hackerovi zakrýt nekalou činnost, kterou prováděl. Za tímto účelem byly některé systémové programy (login, ls...) a systémové knihovny (typicky libproc.a) nahrazeny, popř. bylo využito možností modulů kernelu.

Jednoduše řečeno, Rootkit je program, který se snaží zamaskovat vlastní přítomnost v PC (přítomnost souborů, změn v registru Windows...), popř. přítomnost jiných aplikací v PC.

Bližší informace o rootkitech lze najít například zde, ale na Internetu existují samozřejmě daleko podrobnější informace. Stačí jen trochu "zagůglovat".

Typická otázka: dokáže můj antivirus detekovat rootkity?

Odpověď: Ano i ne.
Je si nutné uvědomit, že rootkit je klasickým programem a jako každý jiný program se musí do PC dostat ve formě souboru, který uživatel stáhne např. z Internetu a to ať už samostatně, nebo jako součást jiného, "mírumilovně" se tvářícího programu. Hledání havěti v souborech je pochopitelně hlavní náplní všech antivirových systémů, takže nic nebrání tomu, aby byla v těchto souborech detekována i havěť typu rootkit. Vlastnostmi může rootkit připomínat trojského koně, takže není potřeba antivirový systém ani nějak přizpůsobovat detekci rootkitů. Stačí pouze, aby antivirová společnost vydávala i aktualizace, konkrétně signatury pro detekci známých rootkitů. To se ve většině případů i děje, takže v tomto případě lze prohlásit: ANO, antiviry dokážou detekovat rootkity.
Může ale nastat situace, kdy rootkit již běží (tj. je spuštěn - aktivován - uživatel ho spustil jako každý jiný program) v systému, např. z důvodu, že prošel skrze antivirový systém, který daný exemplář rootkitu nezná / neznal, popř. že antivirový systém nebyl vůbec nainstalován. Pokud je rootkit opravdu kvalitní a dokáže se tak dokonale maskovat, nemusí ho antivirový systém v PC detekovat, ačkoliv ho za jiných okolností zná (typicky při stahování rootkitu z Internetu, popř. při pokusu o spuštění - aktivaci rootkitu). V tomto případě lze tedy prohlásit, že: NE, antiviry nedokážou detekovat rootkity.
Některé rootkity lze antivirovým systémem spolehlivě detekovat (za předpokladu, že antivirus tyto rootkity "zná") pouze v případě, že je operační systém MS Windows nastartován z jiného zdroje, než přímo z "infikovaného" pevného disku. "Infikovaný" disk tak lze připojit k jinému PC jako druhý, popř. nastartovat operační systém MS Windows například z bootovacího cédéčka a provést kontrolu z něho.