Rootkit nədir?

Rootkitlər ən təhlükəli zərərli proqram növlərindən biridir. Bəzən sistemə yerləşdirildikdə sistem nüvəsini dəyişdirərək, gah da hər zaman sistem nüvəsi ilə əlaqə halında olaraq sistemdə fəaliyyətini davam etdirən zərərli proqram növləridir.
Bu tip proqram, sistemdə inzibati hüquqlara sahib olmaqla, özünü və ya özü ilə gətirdiyi zərərli proqram təminatını təhlükəsizlik proqramından gizlətməyə, process injection texnikaları, Windows-da proqramları işə salmaq kimi üsullara müraciət etməsi sayəsində quruluşca çox güclüdür.
Hazırkı dövrdə demək olar hər gün dəfələrlə istifadə etdiyimiz bəzi yaxşı niyyətli və lazımlı proqramlar öz funksiyalarını yerinə yetirmək üçün rootkit kimi işləyirlər. Bunlar etibarlı və faydalı proqramlardır.
  • Bəzi surət qoruma metodları (DRM)
  • Anakart istehsalçılarının bəzi nəzarət proqramları
  • Antivirus proqramları, sistemdə rootkit kimi yüksək hüquqlar qazanaraq və proqram təminatına müdaxilə edərək real vaxtda qorunma təmin edir.
  • Hiylə qoruma proqramları (VanGuard, BattleEye, AhnLab)
  • Firewall
  • CD virtuallaşdırma proqramı (məsələn, Daemon Tools, Alcohol 120%)
  • Bəzi əks mühəndis alətləri (WinDBg, kernel rejimində işləyən SoftICE kimi).
Rootkit-lərin sadə iş məntiqi:
Sadə şəkildə nəzərdən keçirsək, rootkitlərin 3 növü var: user mode, kernel mode və aparat təminatına müdaxilə edən. Bunu daha açıq şəkildə izah etsək, proqramlar,  funksiyalarından və yazıldıqları dillərdən asılı olaraq istifadəçi rejimində və ya kernel rejimində işləyir. Ümumiyyətlə, aparat təminatına daxil olmağa ehtiyac duymayan və öz sürücüsü olmayan proqramlar istifadəçi rejimində (user-mode) işləyir. Yüksək səviyyəli proqramlaşdırma dillərində yazılmış proqramlar (C #, Python kimi) sistemdə istifadəçi rejimi qatında işləyir. Bu cür proqramlar ehtiyac duyduqları funksiyaları səthi yerinə yetirmək üçün sistem API-lərindən istifadə edir.
Kernel rejimində işləyən proqramlar isə daha çox sürət və aparat təminatına müraciət edəcək şəkildə, eyni zamanda öz sürücü kitabxanalarına (.drv, .sys) sahib olan, sistem nüvəsi ilə əlaqə qura bilən və bəzən istiqamətləndirilə bilən proqramlara deyilir.
Bir rootkitin nə edə biləcəyi və ya dəyişdirə biləcəyinin qısa siyahısı:
Zərərli proqramı gizlətmək: Rootkits cihazınızdakı digər zərərli proqram təminatlarını gizlədir və aradan qaldırılmasını çətinləşdirir.
Uzaqdan giriş əldə etmək: Rootkits, əməliyyat sisteminizə uzaqdan giriş təmin edir.
Təhlükəsizlik proqramlarına müdaxilə etmək və ya onları sıradan çıxarmaq: Bəzi rootkitlər özlərini kompüterinizin təhlükəsizlik proqramlarından gizlədə bilər və ya tamamilə söndürə bilər, beləliklə zərərli proqramların aşkarlanmasını və silinməsini çətinləşdirir.
Məlumat oğurluğu: Kiber cinayətkarlar tez-tez məlumatları oğurlamaq üçün rootkitlərdən istifadə edirlər. Bəzi hakerlər şəxsləri hədəf alır və şəxsiyyət vəsiqəsi oğurluğu və ya saxtakarlıq üçün şəxsi məlumatları ələ keçirirlər.
Qalıcı bir “arxa qapı” yaradır: Bəzi rootkitlər, sisteminizdə açıq qalmış bir kiber təhlükəsizlik arxa qapısı yarada bilər, beləliklə hacker daha sonra geri dönə bilər.
Sizi dinləmə: Rootkits, hakerlərin sizə qulaq asmasına imkan verən izləmə vasitələri kimi istifadə edilə bilər.
Məxfiliyinizə müdaxilə etmək: Bir haker rootkit ilə internet trafikinizi ələ keçirə bilər və hətta e-poçtlarınızı oxuya bilər.
Leave a Comment

Your email address will not be published.