Rootkit

Från Rilpedia

Hoppa till: navigering, sök
Wikipedia_letter_w.pngTexten från svenska WikipediaWikipedialogo_12pt.gif
rpsv.header.diskuteraikon2.gif

Ett Rootkit är en uppsättning program eller modifikationer på datorprogram som döljer saker för användaren genom att modifiera systemets funktion. I allmänhet används ett rootkit i samband med dataintrång eller av malware för att dölja annan otillåten aktivitet. Namnet kommer av administratorkontot "root" på Unix-system; på svenska används ibland ordet spökprogram.

Ett rootkit kan dölja allt från filer och registernycklar till processer och trådar.

Rootkits för Unix har funnits åtminstone sedan början av 1990-talet, numera finns sådana också för till exempel Microsoft Windows. Mac OS X och GNU/Linux kan i detta sammanhang räknas som olika typer av Unix.

På senare tid har rootkits blivit mycket uppmärksammande i media och det mest kända fallet i nuläget var när Sonys musik-CD med kopieringsskyddet Extended Copy Protection från First 4 Internet innehöll ett rootkit. Rootkitet kunde då det väl var installerat utnyttjas också av annan malware, som därigenom inte kunde upptäckas av normala antivirusprogram.

Att hitta ett rootkit

Det finns verktyg, bland annat antivirusprogram, som söker efter tecken på ett rootkit, men dessa verktyg hör i allmänhet till de första som den som installerar ett rootkit försöker modifiera eller på annat sätt skydda sig mot.

Det går alltså inte att försäkra sig om att en dator inte är infekterad av ett rootkit med verktyg installerade på datorn, då dessa verktygs funktion kan ha blivit modifierad av rootkitet. I allmänhet har ändå inte alla verktyg modifierats perfekt, utan rootkitets närvaro kan märkas genom att verktygen i något sammanhang ger inkonsistenta uppgifter. Intrånget kan också avslöjas till exempel av nätverksaktivitet som inte verkar förklaras med systemets normala funktion eller dess funktion rapporterad av systemverktygen.

Om man misstänker att ett rootkit installerats kan man kontrollera systemet genom att starta det från annat bootmedium (såsom en Linux live CD) och jämföra till exempel MD5-summor med sådana från motsvarande säkert omodifierade filer.

För programfiler kan kontrollsummor ofta fås av leverantören, och det finns program som tripwire, som för bok över kontrollsummorna och regelbundet kontrollerar dem. Om man kör ett sådant program gäller problemet de filer som inte är med i bokföringen, de filer som förändrats legitimt efter att rootkitet möjligen installerats och huruvida kontrollsummorna kunnat bli modifierade.

Rootkitet elimineras genom ominstallation av bootsektor, operativsystem och programvara samt kontroll av övriga filer som kan tänkas användas för ominstallation av rootkitet.

Olika typer av rootkit

Ett rootkit kan installeras som moduler eller modifikationer för operativsystemets kärna, till exempel som drivrutiner, som modifikationer på systembibliotek eller som modifikationer på administrationsverktyg och normala program.

Rootkit kan också installeras i inbyggd kod, till exempel i BIOS eller programkod på expansionskort. Denna kod är svår att analysera med normala verktyg, då den körs vid uppstart och därmed kan gömma sig själv.

Externa länkar


Personliga verktyg