Rootkit là gì ?

Posted: Tháng Ba 14, 2009 in Mạng - Bảo mật
Thẻ:,

Rootkit là chương trình “ma mãnh” có khả năng ẩn các tiến trình, file và cả dữ liệu trong registry (cơ sở dữ liệu dùng để lưu trữ mọi thông số kỹ thuật của hệ điều hành Windows). Rootkit thường được dùng để tạo vỏ bọc che giấu hoạt động của virus, mã độc, các tiến trình gây hại cho máy tính của người dùng, tạo điều kiện mở “cửa sau”cho hacker kiểm soát hệ thống.

Rootkit được phân chia thành nhiều loại khác nhau: rootkit trên bộ nhớ, rootkit chế độ người dùng, rootkit lõi hệ điều hành. Trong đó rootkit lõi HĐH là nguy hiểm hơn cả, chúng chặn các hàm API hệ thống mà còn có thể thao tác trực tiếp các cấu trúc dữ liệu trong lõi hệ thống.

Rootkit thực sự đã, đang trở thành phổ biến trong các phần mềm gián điệp và chúng cũng sẽ dần phổ biến trong virus và worms. Trong tương lai, rootkit có khả năng nhanh chóng bùng nổ thành “đại dịch”. Rootkit được xem là một hiểm họa đang nổi lên mạnh mẽ, chúng trở thành những “tay sai” đắc lực giúp tin tặc che giấu hàng loạt mã độc. Một trong những ví dụ điển hình là việc tin tặc sử dụng rootkit để xâm nhập hệ thống thực hiện vụ ăn trộm mã nguồn trò chơi nổi tiếng Half-life 2.

1.2. Khả năng chống rootkit của CMC CodeWalker.

Công cụ này đã hội tụ đầy đủ các tính năng của một phần mềm chống rootkit:

  • Phát hiện / xóa các tiến trình ẩn
  • Phát hiện/ xóa các driver ẩn
  • Phát hiện/ xóa/ trích dẫn các file ẩn
  • Phát hiện/ diệt tất cả các loại rootkits hiện có trên thị trường.
  • Phát hiện và khôi phục lại các thay đổi của Rootkit với hệ thống (hooks, monitor…)
  • Phát hiện các hook trong cả chế độ nhân và chế độ người dùng.
  • Chương trình hoạt động rất hiệu quả với các loại rustock, srizbi, costrat, tdss variants…

Ngoài ra, CodeWalker tỏ ra nổi trội hơn hẳn so với một số chương trình chống rootkit của nước ngoài về:

• Khả năng phát hiện hidden driver tốt hơn RootkitUnhooker LE, IceSword, GMER và RootRepeal: ví dụ Rustock.B, Rustock.C + all PoC hidden driver rootkits.

• Kĩ thuật Check hook kỹ và sâu hơn RkU và IceSword.

• Sử dụng các kỹ thuật antirootkit riêng biệt, không lặp lại, tác động đến các hạ tầng thấp nhất của hệ thống, không tin tưởng/ dựa vào các module có sẵn của hệ điều hành để thực hiện quét.

• Khả năng phát hiện các chỉnh sửa với hệ thống rất mạnh.


Hình 1 – Giao diện CMC CodeWalker

Để mở cửa sổ Quản lý danh sách các file tin tưởng hay giao diện quét rootkit CMC CodeWalker-Rootkit Detector, người dùng chỉ việc nhấp phải chuột vào biểu tượng CMC Antivirus/CMC Internet Security tại khay hệ thống và chọn File an toàn/không an toàn hoặc Quét Rootkit (Scan Rootkit).


Hình 2 – Cách sử dụng

2. Tính năng Trusted Zone /Untrusted Zone

Trusted Zone (Danh mục tin tưởng): Tính năng này cho phép người dùng đưa những chương trình, tệp tin, hay thư mục mà người dùng biết chắc không gây nguy hiểm cho máy tính vào vùng tin tưởng. Lúc đó CMC Antivirus / CMC Internet Security sẽ bỏ qua không quét các chương trình khi chúng hoạt động.


Hình 3 – Giao diện thêm file vào Danh mục tin tưởng

Untrusted Zone (Danh mục không tin tưởng): Tính năng này cho phép người dùng đưa những chương trình, tệp tin, hay thư mục nghi ngờ chứa mã độc vào vùng đối tượng không tin tưởng. Lúc đó CMC Antivirus / CMC Internet Security sẽ không cho phép những chương trình này hoạt động trên máy tính người dùng.


Hình 4 – Giao diện thêm các file vào Danh mục không tin tưởng

CMC InfoSec

Gửi phản hồi

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Thay đổi )

Twitter picture

You are commenting using your Twitter account. Log Out / Thay đổi )

Facebook photo

You are commenting using your Facebook account. Log Out / Thay đổi )

Google+ photo

You are commenting using your Google+ account. Log Out / Thay đổi )

Connecting to %s