Rootkit

מתוך ויקיפדיה, האנציקלופדיה החופשית
קפיצה לניווט קפיצה לחיפוש
Gnome-colors-edit-find-replace.svg
יש לשכתב ערך זה. הסיבה לכך היא: שגוי במידה רבה.
אתם מוזמנים לסייע ולתקן את הבעיות, אך אנא אל תורידו את ההודעה כל עוד לא תוקן הדף. אם אתם סבורים כי אין בדף בעיה, ניתן לציין זאת בדף השיחה.

רוטקיטאנגלית: Rootkit) הוא אוסף של תוכנות מחשב זדוניות בעלות הרשאות משתמש גבוהות, המשמשות דלת אחורית ומאפשרות למשתמש בהן להריץ כלים ופקודות באופן מרוחק[1].

פירוש השם Rootkit הוא הלחם בסיסים של המילים Root (משתמש בעל הרשאות ניהול במערכת לינוקס) ו-Kit (אוסף רכיבי תוכנה).

התקנת רוטקיט תעשה לרוב באופן אוטומטי או על ידי תוקף המנצל פגיעות במערכת ההפעלה ויתקין את סט הכלים בתיקיית השורש באמצעות הרשאות מנהל ובאופן ידני.

לאחר ההתקנה הראשונית ניתן להסוות את מיקום הכלים, לטשטש את פעולות התוקף ולקבל שליטה מלאה על מערכת ההפעלה ללא ידיעתו של הקורבן.

סוגים ושכבות[עריכת קוד מקור | עריכה]

על מנת להסוות את הימצאותו, מבצע ה-Rootkit מספר פעולות כדי לשבש את הקריאות לפונקציות מערכת ההפעלה המאפשרות ניטור ותחזוקה. פעולות עליהן נהוג להשפיע הן גישה לקבצים על הכונן הקשיח והימצאות של תהליכונים (Threads) המבוצעים על ידי המעבד.

פעולות שיבוש אלה עשויות להתבצע במספר רמות:

Virtualised - השכבה הווירטואלית[עריכת קוד מקור | עריכה]

סוג זה נחשב לרמה הנמוכה ביותר שקיימת כיום. סוג זה מתאר Rootkit שמשנה את רצף הפעולות והתוכנות שעולות באתחול המחשב, תוך החלפת טעינת מערכת ההפעלה הקיימת, במערכת הפעלה וירטואלית משלו. מערכת הפעלה מדומה זו מאפשרת לRootkit להשתלט על כל רכיבי החומרה וכמובן התוכנה במחשב.

באופן זה, משמש ה-Rootkit כחוצץ בין מערכת ההפעלה לבין העולם האמיתי. מערכת ההפעלה לא מקבלת מידע אמין לגבי המידע הנמצא על הכונן הקשיח, וזאת באופן שלא מאפשר לה לדעת על כך.

Kernel Level - שכבת הליבה, הגרעין[עריכת קוד מקור | עריכה]

בסוג זה, מוחלפת ליבת מערכת ההפעלה בליבה חלופית המאפשרת פתיחת פרצה במערכת ההפעלה לשימוש עתידי של הפורץ. שיטה זו מושגת בדרך כלל על ידי הוספת קוד חדש שיטען ביחד עם ליבת מערכת ההפעלה הקיימת, סוג זה יכול להחבא בין מנהל ההתקנים של מערכת ההפעלה, או בכל תהליך או רכיב שעולה בעת אתחול מערכת ההפעלה.

על מנת לממש סוג כזה של Rootkit, יש לכתוב Driver, דבר הכרוך בסיבוך רב, ומועד להימצאות באגים רבים. חשוב לציין שבאג המתרחש ברמת ה-Kernel גורם לרוב ל-Blue Screen ולקריסה מיידית של המחשב. לכן, סוג זה של Rootkit ייתכן ויגרום לאי יציבות של מערכת ההפעלה, אי יציבות שיכולה להתבטא בקריסת מערכת ההפעלה.

אופן המימוש של Rootkit מסוג זה הוא ביצוע Hook-ים בתווך שבין קריאות ה-API ברמת ה-User mode לקריאות המקבילות ברמת ה-Kernel mode. לרוב, מתבצע Hook זה ברמת ה-Service Description Table

Library level - שכבת הספרייה, User mode[עריכת קוד מקור | עריכה]

במקרה זה, מדובר בטלאי שנועד להחליף את קריאות מערכת ההפעלה, בקריאות חלופיות, השייכות ל-Rootkit עצמו. קריאה חלופית זו, תסתיר את זהותו ומיקומו של ה-Rootkit. פעולה זו מתבצעת לרוב על ידי שינויים במרחב הזיכרון של תהליך מסוים במערכת ההפעלה, המבצעים Hook-ים על קריאות ה-API של התהליך. פעולה זו מתבצעת לרוב על ידי Import Table Hooking או על ידי Detour.

קיימים מספר הבדלים משמעותיים בין פיתוח ה-Rootkit ברמת ה-Kernel לפיתוח ברמת ה-Library:

  • מימוש פעולות ה-Rootkit ברמת ה-User mode פשוט באופן משמעותי מאשר פיתוח קוד ברמת ה-Kernel.
  • ביצוע Hook ברמת ה-Library משפיע על התהליך בו הוא התבצע בלבד, לעומת Hook ברמת ה-Kernel המשפיע בצורה רחבה על כל המערכת.
  • פעולות מסוג זה ברמת ה-User mode נחשבות חשודות, ונתפסות לרוב על ידי תוכנות אנטי וירוס ו-Anti-Spyware. זאת לעומת פעולות מסוג זה ברמת ה-Kernel, אשר לרוב אינן מנוטרות, ויכולות להתבצע ללא הפרעה.

גילוי ומניעה[עריכת קוד מקור | עריכה]

למערכות רוטקיט יכולות הסוואה רבות אך ניתן לגלות אותן באמצעות מספר דרכים:

מערכות גילוי והתראה[עריכת קוד מקור | עריכה]

ראו גם[עריכת קוד מקור | עריכה]

קישורים חיצוניים[עריכת קוד מקור | עריכה]

ויקישיתוף מדיה וקבצים בנושא Rootkit בוויקישיתוף

הערות שוליים[עריכת קוד מקור | עריכה]

  1. ^ Wayback Machine, web.archive.org, ‏2006-08-23