این کلمه از دو بخش تشکیل شده ، root و kit این ساده ترین راه معرفی و توضیح برای rootkit است . کلمه root از دنیای لینوکس و یونیکس وارد شده و مترادف administrator در سیستم عامل ویندوز است . Administrator یعنی کسی که به سیستم عامل سطح دسترسی کاملی دارد یا در واقع صاحب اصلی آن سیستم عامل است . اگر یك خدمات دهنده (server ) یونیكس هك شود و یك كاربر غیر مجاز بتواند به عنوان صاحب سیستم ( root ) فرمان صادر كند ، گفته میشود كه سرور root شده است . در واقع کاربر غیر مجاز با سطح دسترسی کاربر اصلی سیستم ( root ) مدیریت سیستم را به دست گرفته است .
اما کلمه kit : به برنامهای گفته میشود که برای به دست آوردن سطح دسترسی صاحب سیستم (root / admin ) سعی بر انجام پذیری عملیاتی را دارد که فقط دسترسی به صاحب سیستم برایش رضایت بخش است تا بتواند فرامینی را اجرا کند .
علت استفاده از rootkit ؟
Rootkitها دو وظیفه اصلی دارند اول اینکه به صورت پنهانی وارد سیستم مورد نظر بشوند . این روش ممکن است از طریق یک برنامه که با اراده شما نصب شده اتفاق بیافتد و دوم اینکه پس از ورود خود را پنهان نگاه دارد ، در واقع آنها با بهرهگیری از تكنیكهای مختلف خودشان را از نظرها پنهان میکنند و حتی در بسیاری موارد خود را رمزنگاری میکنند تا به هیچ عنوان شناخته نشوند . با توجه به این دو وظیفه نظر بسیاری از هکرها به استفاده از rootkitها مثبت است . RootKitها از نظر ساختار كاری بسیار شبیه Trojanها و Backdoorها هستند با این تفاوت که آنها اجازه دسترسی Root یا Administrator را به ما نمیدهند و در واقع سیستم از کنترل ما خارج خواهد شد .
به مثال زیر توجه کنید :
معمولا تروجانها فایلی را در داخل هسته سیستم مثل پوشه System32 اضافه میكنند و این فایل تمامی پسوردهای قربانی را Log كرده و برای هكر میفرستد و یا با باز كردن پورتی اجازه ورود هكر را از آن طریق به سیتم قربانی میدهد ولی دسته اول از RootKitها بجای اینكه فایلی در هسته سیستم قربانی اضافه كنند ، سرویسها و فایلهای اصلی و مهم سیستم عامل قربانی را با یك نسخه تغییر یافته آن كه عملیاتی مخرب انجام میدهد جایگزین میكنند . در نتیجه آن فایل تغییر یافته برای سیستم عامل یک فایل ضروری است و به عنوان فایلی اضافه محسوب نمیشود ، این عمل باعث دشواری تشخیص فایل آلوده از فایل اصلی خواهد شد . دسته دوم از rootkit ها کاملا حرفهای تر عمل میکنند و اقدام به اعمال تغییر در هسته اصلی سیستم عامل میکنند در دسته دوم درصد شناسایی آنها بسیار کمتر از دسته اول است به نحوی که قسمتی از سیستم عامل محسوب میشوند .
تولد و مرگ rootkitها
آنها خودشان را تکثیر میکنند . کافیست که با کلیک بر روی یک برنامه مخرب و آلوده rootkit یکی از آنها به سیستم شما وارد شود . آنها یکدیگر را به سیستم شما دعوت میکنند تا هر کدام قسمتی از سیستم عامل شما را مورد عنایت قرار دهند . البته روش تکثیر آنها با ویروسها متفاوت است ، ویروسها سعی بر خرابکاری هر چه بیشتر در کوتاهترین زمان را دارند اما rootkit ها هوشمندانه و محدود ، عملیات تخریب را انجام میدهند در واقع یکی از آنها راه را برای ورود دیگران هموار میسازد تا به کمک یکدیگر شما و سیستم شما را از صحنه روزگار حذف کنند چون در چنین شرایطی بهترین راه از بین بردن آنها فرمت هارد دیسک و نصب مجدد سیستم عامل است ، البته اینبار با تفکری قویتر . البته برای از بین بردن rootkit ها روشهای دیگری نیز وجود دارد ، نرم افزارهایی جهت از بین بردن آنها نوشته شده است . توصیه میکنم با نصب antivirus و anti-spyware و بروزرسانی مکرر آنها در کنار آنها از نرمافزارهای زیر نیز استفاده کنید .
• F-Secure Blacklight
• http://www.f-secure.com/blacklight/ )
• RootkitRevealer
• http://technet.microsoft.com/en-us/sysinternals/bb897445.aspx )
• Windows Malicious Software Removal Tool
• http://www.microsoft.com/security/malwareremove/default.mspx )
• ProcessGuard
• http://diamondcs.com.au/processguard/index.php?page=download )
• Rootkit Hunter
• Linux and BSD) (http://www.rootkit.nl/projects/rootkit_hunter.html )
البته در صورت آلوده شدن سیستم به rootkit گمان مبرید که با نصب یکی از این نرمافزارها از دست rootkit خلاص خواهید شد چون آنها مخفیانه و رمزگذاری شده عمل میکنند و حتی در پارهای مواقع توسط چنین نرمافزارهایی قابل شناسایی نیستند . بسیاری از متخصصین بر این باورند که با استفاده از نرمافزار BarPE که از طریق CD بارگذاری میشود میتوانند از شر rootkit های ویندوز رهایی یابند ، اما باید گفت این اتفاق صد درصد نیست . همانگونه که قبلا توصیه شد بهترین و مطمئنترین راه فرمت هارد دیسک است .
